Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

ประกาศความปลอดภัยของ Android - มิถุนายน 2016

เผยแพร่เมื่อ 06 มิถุนายน 2016 | อัปเดตเมื่อ 8 มิถุนายน 2559

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวเราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์ Nexus ได้เผยแพร่ไปยัง ไซต์ Google Developer ระดับแพตช์ความปลอดภัยของวันที่ 1 มิถุนายน 2016 หรือใหม่กว่าเพื่อแก้ไขปัญหาเหล่านี้ โปรดดู เอกสารประกอบของ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัย

พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 02 พฤษภาคม 2016 หรือก่อนหน้านั้น หากเป็นไปได้แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ในที่เก็บ Android Open Source Project (AOSP)

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งอาจเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านหลายวิธีเช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงหาประโยชน์จากลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วนการ ลดขนาดบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

การลดขนาดบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยอาจถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ห้ามใช้เครื่องมือรูทอุปกรณ์ใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งเป็นที่รู้จักซึ่งใช้ช่องโหว่ในการเพิ่มสิทธิ์ หากแอปพลิเคชันดังกล่าวได้รับการติดตั้งแล้ว Verify Apps จะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสมแอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งผ่านสื่อไปยังกระบวนการต่างๆเช่น Mediaserver โดยอัตโนมัติ

กิตติกรรมประกาศ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

  • Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
  • Gal Beniamini ( @laginimaineb ): CVE-2016-2476
  • Gengjia Chen ( @ chengjia4574 ), pjf ( weibo.com/jfpan ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-2492
  • Hao Chen, Guang Gong และ Wenlin Yang จาก Mobile Safe Team, Qihoo 360 Technology Co. Ltd. : CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
  • Iwo Banas : CVE-2016-2496
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf ( weibo.com/jfpan ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-2490, CVE-2016-2491
  • Lee Campbell จาก Google: CVE-2016-2500
  • Maciej Szawłowskiจากทีมรักษาความปลอดภัยของ Google: CVE-2016-2474
  • Marco Nelissen และ Max Spector แห่ง Google: CVE-2016-2487
  • Mark Brand จาก Google Project Zero: CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • Scott Bauer ( @ ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • Vasily Vasilev: CVE-2016-2463
  • Weichao Sun ( @sunblate ) จาก Alibaba Inc. : CVE-2016-2495
  • Xiling Gong จาก Tencent Security Platform Department: CVE-2016-2499
  • Zach Riggle ( @ ebeip90 ) จากทีมความปลอดภัยของ Android: CVE-2016-2493

รายละเอียดช่องโหว่ด้านความปลอดภัย

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2016-06-01 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE ข้อบกพร่องของ Android ที่เกี่ยวข้องความรุนแรงอุปกรณ์ Nexus ที่อัปเดตเวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่ที่รายงาน เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลง AOSP ที่แก้ไขปัญหากับรหัสข้อบกพร่อง เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิง AOSP เพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การดำเนินการรหัสระยะไกลใน Mediaserver

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver สามารถเปิดใช้งานผู้โจมตีโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver กระบวนการ Mediaserver สามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

ฟังก์ชันการทำงานที่ได้รับผลกระทบจัดให้เป็นส่วนหลักของระบบปฏิบัติการและมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลโดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อบนเบราว์เซอร์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2463 27855419 สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 มี.ค. 2559

ช่องโหว่การดำเนินการรหัสระยะไกลใน libwebm

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลด้วย libwebm สามารถเปิดใช้งานผู้โจมตีโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver กระบวนการ Mediaserver สามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

ฟังก์ชันการทำงานที่ได้รับผลกระทบจัดให้เป็นส่วนหลักของระบบปฏิบัติการและมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลโดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อบนเบราว์เซอร์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2464 23167726 [ 2 ] สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ภายใน Google

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2465 27407865 * สำคัญ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 ก.พ. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษใน Qualcomm Sound Driver

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2466 27947307 * สำคัญ Nexus 6 27 ก.พ. 2559
CVE-2016-2467 28029010 * สำคัญ Nexus 5 13 มี.ค. 2557

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ใน Qualcomm GPU Driver

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2468 27475454 * สำคัญ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 มี.ค. 2559
CVE-2016-2062 27364029 * สำคัญ Nexus 5X, Nexus 6P 6 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดร์เวอร์ Qualcomm Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2474 27424603 * สำคัญ Nexus 5X ภายใน Google

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบเรียกใช้การเรียกระบบเพื่อเปลี่ยนการตั้งค่าและพฤติกรรมของอุปกรณ์โดยไม่มีสิทธิ์ในการทำเช่นนั้น ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถในระดับที่สูงขึ้น

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2475 26425765 * สูง Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, พิกเซล C 6 ม.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษใน Qualcomm Sound Driver

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกับบริการที่สามารถโทรหาคนขับได้ก่อน

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2066 26876409 * สูง Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29 ม.ค. 2559
CVE-2016-2469 27531992 * สูง Nexus 5, Nexus 6, Nexus 6P 4 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของแอปพลิเคชันระบบที่ยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเพราะมันสามารถนำมาใช้เพื่อให้เข้าถึงท้องถิ่นเพื่อความสามารถในการยกระดับเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 ก.พ. 2559
CVE-2016-2477 27251096 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 ก.พ. 2559
CVE-2016-2478 27475409 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 มี.ค. 2559
CVE-2016-2479 27532282 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 มี.ค. 2559
CVE-2016-2480 27532721 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 มี.ค. 2559
CVE-2016-2481 27532497 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 มี.ค. 2559
CVE-2016-2482 27661749 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 มี.ค. 2559
CVE-2016-2483 27662502 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 มี.ค. 2559
CVE-2016-2484 27793163 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 มี.ค. 2559
CVE-2016-2485 27793367 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 มี.ค. 2559
CVE-2016-2486 27793371 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 มี.ค. 2559
CVE-2016-2487 27833616 [ 2 ] [ 3 ] สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ภายใน Google

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง Qualcomm

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกับบริการที่สามารถโทรหาคนขับได้ก่อน

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2061 27207747 * สูง Nexus 5X, Nexus 6P 15 ก.พ. 2559
CVE-2016-2488 27600832 * สูง Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) ภายใน Google

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกับบริการที่สามารถโทรหาคนขับได้ก่อน

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2489 27407629 * สูง Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21 ก.พ. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง NVIDIA

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์กล้อง NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกับบริการเพื่อโทรหาคนขับก่อน

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2490 27533373 * สูง Nexus 9 6 มี.ค. 2559
CVE-2016-2491 27556408 * สูง Nexus 9 8 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกับบริการที่สามารถโทรหาคนขับได้ก่อน

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2470 27662174 * สูง Nexus 7 (2013) 13 มี.ค. 2559
CVE-2016-2471 27773913 * สูง Nexus 7 (2013) 19 มี.ค. 2559
CVE-2016-2472 27776888 * สูง Nexus 7 (2013) 20 มี.ค. 2559
CVE-2016-2473 27777501 * สูง Nexus 7 (2013) 20 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมการจัดการพลังงาน MediaTek

การยกระดับสิทธิ์ในโปรแกรมควบคุมการจัดการพลังงาน MediaTek สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในระบบเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากก่อนอื่นต้องมีการบุกรุกอุปกรณ์และระดับความสูงในการรูทเพื่อเรียกไดรเวอร์

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2492 28085410 * สูง Android One 7 เม.ย. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ใน SD Card Emulation Layer

การเพิ่มช่องโหว่ของสิทธิพิเศษในเลเยอร์การจำลองพื้นที่ผู้ใช้การ์ด SD อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของแอปพลิเคชันระบบที่ยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเพราะมันสามารถนำมาใช้เพื่อให้เข้าถึงท้องถิ่นเพื่อความสามารถในการยกระดับเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2494 28085658 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 เม.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกับบริการเพื่อโทรหาคนขับก่อน

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2493 26571522 * สูง Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C ภายใน Google

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

ช่องโหว่การปฏิเสธบริการจากระยะไกลใน Mediaserver

ช่องโหว่การปฏิเสธบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการให้บริการจากระยะไกล

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2495 28076789 [ 2 ] สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 เม.ย. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน Framework UI

การยกระดับช่องโหว่ของสิทธิ์ในหน้าต่างโต้ตอบการอนุญาต Framework UI อาจทำให้ผู้โจมตีสามารถเข้าถึงไฟล์ที่ไม่ได้รับอนุญาตในที่เก็บข้อมูลส่วนตัว ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์ " อันตราย " อย่างไม่เหมาะสม

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2496 26677796 [ 2 ] [ 3 ] ปานกลาง Nexus ทั้งหมด 6.0, 6.1 26 พฤษภาคม 2558

ช่องโหว่ในการเปิดเผยข้อมูลในไดร์เวอร์ Qualcomm Wi-Fi

การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลนอกระดับการอนุญาตได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากก่อนอื่นต้องมีการประนีประนอมกับบริการที่สามารถโทรหาคนขับได้

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2498 27777162 * ปานกลาง Nexus 7 (2013) 20 มี.ค. 2559

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2499 27855172 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 มี.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลในตัวจัดการกิจกรรม

ช่องโหว่ในการเปิดเผยข้อมูลในองค์ประกอบตัวจัดการกิจกรรมอาจทำให้แอปพลิเคชันเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE ข้อบกพร่องของ Android ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2500 พ.ศ. 2471 5814 ปานกลาง Nexus ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1 ภายใน Google

คำถามและคำตอบทั่วไป

ส่วนนี้ตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่?

ระดับแพตช์ความปลอดภัยตั้งแต่วันที่ 1 มิถุนายน 2016 ขึ้นไปเพื่อแก้ไขปัญหาเหล่านี้ (ดู เอกสาร Nexus สำหรับคำแนะนำเกี่ยวกับวิธีตรวจสอบระดับแพตช์ความปลอดภัย) ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น: [ro.build.version.security_patch]: [2016-06-01]

2. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Nexus ใดที่ได้รับผลกระทบจากแต่ละปัญหา

ในส่วน รายละเอียดช่องโหว่ด้านความปลอดภัย แต่ละตารางจะมีคอลัมน์อุปกรณ์ Nexus ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Nexus ที่ได้รับผลกระทบที่อัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีสองสามตัวเลือก:

  • อุปกรณ์ Nexus ทั้งหมด : หากปัญหาส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมดตารางจะมี“ Nexus ทั้งหมด” ในคอลัมน์ อุปกรณ์ Nexus ที่อัปเดต “ Nexus ทั้งหมด” จะห่อหุ้ม อุปกรณ์ที่รองรับ ต่อไปนี้: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player และ Pixel C
  • อุปกรณ์ Nexus บางรุ่น : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมดอุปกรณ์ Nexus ที่ได้รับผลกระทบจะแสดงรายการในคอลัมน์ อุปกรณ์ Nexus ที่อัปเดต
  • ไม่มีอุปกรณ์ Nexus : หากไม่มีอุปกรณ์ Nexus ได้รับผลกระทบจากปัญหาตารางจะมี“ ไม่มี” ในคอลัมน์ อุปกรณ์ Nexus ที่อัปเดต

การแก้ไข

  • 6 มิถุนายน 2559: เผยแพร่แถลงการณ์
  • 07 มิถุนายน 2559:
    • ปรับปรุงกระดานข่าวสารเพื่อรวมลิงก์ AOSP
    • CVE-2016-2496 ถูกลบออกจากกระดานข่าวสาร
  • 08 มิถุนายน 2559: CVE-2016-2496 เพิ่มกลับไปที่กระดานข่าวสาร