بولتن امنیتی اندروید - ژوئیه 2016

تاریخ انتشار 15 تیر 1395 | به روز شده در 1 آوریل 2019

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار Nexus نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 ژوئیه 2016 یا بعد از آن به همه مسائل قابل اجرا در این بولتن می پردازد. برای یادگیری نحوه بررسی سطح وصله امنیتی به مستندات مراجعه کنید.

در 6 ژوئن 2016 یا قبل از آن، شرکا در مورد مسائل توضیح داده شده در بولتن مطلع شدند. در صورت لزوم، وصله‌های کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دو رشته سطح وصله امنیتی را تعریف می‌کند تا به شرکای Android این امکان را بدهد که سریع‌تر برای رفع زیرمجموعه‌ای از آسیب‌پذیری‌ها که در همه دستگاه‌های Android مشابه هستند، حرکت کنند. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/07/2016 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می دهد که تمام مشکلات مربوط به 01-07-2016 بررسی شده است.
    • 05/07/2016 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مربوط به 2016-07-01 و 2016-07-05 رسیدگی شده است.
  • دستگاه‌های Nexus پشتیبانی‌شده یک به‌روزرسانی OTA با سطح وصله امنیتی 05 ژوئیه 2016 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با بهبود نسخه های جدیدتر پلت فرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به طور فعال برای سوء استفاده نظارت می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به‌ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع داده و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • آبیشک آریا، الیور چانگ و مارتین باربلا از تیم امنیتی Google Chrome: CVE-2016-3756، CVE-2016-3741، CVE-2016-3743، CVE-2016-3742
  • آدام دوننفلد و همکاران از Check Point Software Technologies Ltd.: CVE-2016-2503
  • آدام پاول از گوگل: CVE-2016-3752
  • الکس چپمن و پل استون از امنیت اطلاعات زمینه: CVE-2016-3763
  • اندی تایلر ( @ticarpi ) از e2e - assure: CVE-2016-2457
  • بن هاکس از Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu )، Yuan-Tsung Lo ( computernik@gmail.com )، و Xuxian Jiang از تیم C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-37 CVE-2016-3774
  • کریستوفر تیت از گوگل: CVE-2016-3759
  • دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-3762
  • Gengjia Chen ( @chengjia4574 )، pjf ( weibo.com/jfpan ) از IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-3806، CVE-2016-3816، CVE-2016-3805، CVE-3806 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • گرگ کایزر از تیم Google Android: CVE-2016-3758
  • گوانگ گونگ (龚广) ( @oldfresher ) از تیم ایمن موبایل، Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
  • Hao Qin از آزمایشگاه تحقیقات امنیتی، Cheetah Mobile : CVE-2016-3754، CVE-2016-3766
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf ( weibo.com/jfpan ) از IceSword Lab، Qihoo 360 Technology Co. Ltd : CVE-2016-3814، CVE-2016-3802، CVE-2016-37201، CVE-3-3 CVE-2016-3808
  • مارکو نلیسن از گوگل: CVE-2016-3818
  • علامت تجاری Google Project Zero: CVE-2016-3757
  • Michał Bednarski : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-3747، CVE-2016-3746، CVE-2016-3765
  • پنگ شیائو، چنگمینگ یانگ، نینگ یو، چائو یانگ و یانگ سونگ از گروه امنیت موبایل علی‌بابا: CVE-2016-3800، CVE-2016-3799، CVE-2016-3801، CVE-2016-3812، CVE-2016-379
  • پیتر پی ( @heisecode ) از Trend Micro: CVE-2016-3793
  • ریکی وای از گوگل: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • اسکات بائر ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • واسیلی واسیلف: CVE-2016-2507
  • Weichao Sun ( @sunblate ) از Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
  • ون نیو ( @NWMonster ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-3809
  • Xiling Gong از بخش پلت فرم امنیتی Tencent: CVE-2016-3745
  • یاکونگ گو از آزمایشگاه TCA، موسسه نرم افزار، آکادمی علوم چین: CVE-2016-3761
  • Yongke Wang ( @Rudykewang ) از Xuanwu LAB، Tencent: CVE-2016-2505
  • یونگکه وانگ ( @Rudykewang ) و وی وی ( @Danny__Wei ) از Xuanwu LAB، Tencent: CVE-2016-2506
  • Yulong Zhang و Tao (Lenx) Wei of Baidu X-Lab: CVE-2016-3744

سطح وصله امنیتی 01/07/2016—جزئیات آسیب پذیری امنیتی

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-07-2016 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را برطرف کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعداد زیر شناسه اشکال مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در Mediaserver

یک آسیب‌پذیری اجرای کد از راه دور در Mediaserver می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver، به عنوان بحرانی رتبه بندی شده است. فرآیند Mediaserver به جریان‌های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه‌های شخص ثالث معمولاً نمی‌توانند به آنها دسترسی داشته باشند.

عملکرد آسیب‌دیده به‌عنوان بخش اصلی سیستم‌عامل ارائه می‌شود و برنامه‌های متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم می‌کند، به ویژه MMS و مرورگر پخش رسانه.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-2506 الف-28175045 بحرانی همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 11 آوریل 2016
CVE-2016-2505 الف-28333006 بحرانی همه Nexus 6.0، 6.0.1 21 آوریل 2016
CVE-2016-2507 الف-28532266 بحرانی همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 2 مه 2016
CVE-2016-2508 A-28799341 [ 2 ] بحرانی همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 16 مه 2016
CVE-2016-3741 A-28165661 [ 2 ] بحرانی همه Nexus 6.0، 6.0.1 گوگل داخلی
CVE-2016-3742 الف-28165659 بحرانی همه Nexus 6.0، 6.0.1 گوگل داخلی
CVE-2016-3743 الف-27907656 بحرانی همه Nexus 6.0، 6.0.1 گوگل داخلی

آسیب‌پذیری اجرای کد از راه دور در OpenSSL و BoringSSL

یک آسیب‌پذیری اجرای کد از راه دور در OpenSSL و BoringSSL می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به ایجاد خرابی حافظه در طول پردازش فایل و داده کند. این مشکل به دلیل امکان اجرای کد از راه دور در چارچوب یک فرآیند تحت تأثیر، به عنوان بحرانی رتبه بندی می شود.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-2108 الف-28175332 بحرانی همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 3 مه 2016

آسیب پذیری اجرای کد از راه دور در بلوتوث

یک آسیب‌پذیری اجرای کد از راه دور در بلوتوث می‌تواند به مهاجم پروگزیمال اجازه دهد تا کد دلخواه را در طول فرآیند جفت‌سازی اجرا کند. این موضوع به دلیل امکان اجرای کد از راه دور در هنگام راه اندازی یک دستگاه بلوتوث، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3744 الف-27930580 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 30 مارس 2016

افزایش آسیب پذیری امتیاز در libpng

افزایش آسیب‌پذیری امتیاز در libpng می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک برنامه سیستم بالا اجرا کند. این مشکل به‌عنوان High رتبه‌بندی شده است، زیرا می‌توان از آن برای دسترسی محلی به قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3751 الف-23265085 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 3 دسامبر 2015

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب‌پذیری امتیاز در Mediaserver می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه یک برنامه کاربردی سیستم بالا اجرا کند. این مشکل به‌عنوان High رتبه‌بندی شده است، زیرا می‌توان از آن برای دسترسی محلی به قابلیت‌های بالا استفاده کرد، مانند امتیازات مجوز Signature یا SignatureOrSystem ، که برای برنامه‌های شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3745 الف-28173666 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 10 آوریل 2016
CVE-2016-3746 الف-27890802 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 27 مارس 2016
CVE-2016-3747 الف-27903498 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 28 مارس 2016

افزایش آسیب پذیری امتیاز در سوکت ها

افزایش آسیب‌پذیری امتیاز در سوکت‌ها می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به تماس‌های سیستم خارج از سطح مجوزهای خود کند. این مشکل به‌عنوان زیاد رتبه‌بندی می‌شود، زیرا می‌تواند به دور زدن اقدامات امنیتی برای افزایش دشواری مهاجمان در سوء استفاده از پلت فرم اجازه دهد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3748 الف-28171804 بالا همه Nexus 6.0، 6.0.1 13 آوریل 2016

افزایش آسیب پذیری امتیاز در LockSettingsService

افزایش آسیب پذیری امتیاز در LockSettingsService می تواند یک برنامه مخرب را قادر سازد تا رمز عبور قفل صفحه را بدون مجوز از کاربر بازنشانی کند. این مشکل به‌عنوان High رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از الزامات تعامل کاربر برای هر برنامه‌نویس یا تغییر تنظیمات امنیتی است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3749 الف-28163930 بالا همه Nexus 6.0، 6.0.1 گوگل داخلی

افزایش آسیب پذیری امتیاز در Framework API

افزایش آسیب‌پذیری امتیاز در APIهای Parcels Framework می‌تواند یک برنامه مخرب محلی را قادر سازد تا از حفاظت‌های سیستم عاملی که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند دور بزند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده هایی استفاده کرد که برنامه به آنها دسترسی ندارد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3750 الف-28395952 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 16 دسامبر 2015

افزایش آسیب پذیری امتیاز در سرویس ChooserTarget

افزایش آسیب پذیری امتیاز در سرویس ChooserTarget می تواند یک برنامه مخرب محلی را قادر سازد تا کد را در زمینه برنامه دیگری اجرا کند. این مشکل دارای رتبه بالا است زیرا می‌توان از آن برای دسترسی به فعالیت‌های متعلق به برنامه دیگری بدون مجوز استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3752 الف-28384423 بالا همه Nexus 6.0، 6.0.1 گوگل داخلی

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند به مهاجم راه دور امکان دسترسی به داده‌های محافظت‌شده را بدهد که معمولاً فقط برای برنامه‌های نصب‌شده محلی که درخواست مجوز می‌کنند قابل دسترسی است. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3753 الف-27210135 بالا هیچ یک* 4.4.4 15 فوریه 2016

* دستگاه‌های Nexus پشتیبانی‌شده که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری افشای اطلاعات در OpenSSL

یک آسیب‌پذیری افشای اطلاعات در OpenSSL می‌تواند یک مهاجم راه دور را قادر سازد به داده‌های محافظت‌شده دسترسی داشته باشد که معمولاً فقط برای برنامه‌های نصب‌شده محلی که درخواست مجوز می‌کنند قابل دسترسی است. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-2107 الف-28550804 بالا هیچ یک* 4.4.4، 5.0.2، 5.1.1 13 آوریل 2016

* دستگاه‌های Nexus پشتیبانی‌شده که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار موقت سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3754 A-28615448 [ 2 ] بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 5 مه 2016
CVE-2016-3755 الف-28470138 بالا همه Nexus 6.0، 6.0.1 29 آوریل 2016
CVE-2016-3756 الف-28556125 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 گوگل داخلی

آسیب پذیری انکار سرویس در libc

آسیب‌پذیری انکار سرویس در libc می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3818 A-28740702 [ 2 ] بالا هیچ یک* 4.4.4 گوگل داخلی

* دستگاه‌های Nexus پشتیبانی‌شده که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیاز در lsof

افزایش آسیب‌پذیری امتیاز در lsof می‌تواند یک برنامه مخرب محلی را قادر به اجرای کد دلخواه کند که می‌تواند منجر به به خطر افتادن دستگاه دائمی شود. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا به مراحل دستی غیر معمول نیاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3757 الف-28175237 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 11 آوریل 2016

افزایش آسیب پذیری امتیاز در DexClassLoader

افزایش آسیب پذیری امتیاز در DexClassLoader می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا به مراحل دستی غیر معمول نیاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3758 الف-27840771 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 گوگل داخلی

افزایش آسیب پذیری امتیاز در Framework API

افزایش آسیب پذیری امتیاز در Framework API می تواند یک برنامه مخرب محلی را قادر سازد تا مجوزهای پشتیبان را درخواست کند و تمام داده های پشتیبان را رهگیری کند. این مشکل به‌عنوان «متوسط» رتبه‌بندی می‌شود، زیرا برای دور زدن حفاظت‌های سیستم عاملی که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کنند، به مجوزهای خاصی نیاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3759 الف-28406080 در حد متوسط همه Nexus 5.0.2، 5.1.1، 6.0، 6.0.1 گوگل داخلی

افزایش آسیب پذیری امتیاز در بلوتوث

افزایش آسیب‌پذیری امتیاز در مؤلفه بلوتوث می‌تواند مهاجم محلی را قادر می‌سازد تا یک دستگاه بلوتوث تأیید شده را که برای کاربر اصلی باقی می‌ماند اضافه کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3760 A-27410683 [ 2 ] [ 3 ] در حد متوسط همه Nexus 5.0.2، 5.1.1، 6.0، 6.0.1 29 فوریه 2016

افزایش آسیب پذیری امتیاز در NFC

افزایش آسیب پذیری امتیاز در NFC می تواند یک برنامه پس زمینه مخرب محلی را قادر سازد تا به اطلاعات یک برنامه پیش زمینه دسترسی پیدا کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3761 الف-28300969 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 20 آوریل 2016

افزایش آسیب پذیری امتیاز در سوکت ها

افزایش آسیب‌پذیری امتیاز در سوکت‌ها می‌تواند یک برنامه مخرب محلی را قادر سازد تا به انواع سوکت‌های غیرمعمول دسترسی پیدا کند که احتمالاً منجر به اجرای کد دلخواه در چارچوب هسته می‌شود. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا می‌تواند به دور زدن اقدامات امنیتی برای افزایش دشواری مهاجمان در سوء استفاده از پلت فرم اجازه دهد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3762 الف-28612709 در حد متوسط همه Nexus 5.0.2، 5.1.1، 6.0، 6.0.1 21 آوریل 2016

آسیب‌پذیری افشای اطلاعات در Proxy Auto-Config

یک آسیب‌پذیری افشای اطلاعات در مولفه Proxy Auto-Config می‌تواند به برنامه اجازه دسترسی به اطلاعات حساس را بدهد. این مشکل متوسط ​​رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3763 الف-27593919 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 10 مارس 2016

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند به یک برنامه مخرب محلی اجازه دسترسی به اطلاعات حساس را بدهد. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3764 الف-28377502 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 25 آوریل 2016
CVE-2016-3765 الف-28168413 در حد متوسط همه Nexus 6.0، 6.0.1 8 آوریل 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور به عنوان متوسط ​​رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3766 A-28471206 [ 2 ] در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 29 آوریل 2016

سطح وصله امنیتی 05/07/2016—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی مربوط به سطح وصله ۰۵-۰۷-۲۰۱۶ را ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را برطرف کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعداد زیر شناسه اشکال مرتبط می شوند.

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی کوالکام

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-2503 A-28084795* QC-CR1006067 بحرانی Nexus 5X، Nexus 6P 5 آوریل 2016
CVE-2016-2067 A-28305757 QC-CR988993 بحرانی Nexus 5X، Nexus 6، Nexus 6P 20 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور وای فای مدیاتک

افزایش آسیب پذیری امتیاز در درایور مدیاتک وای فای می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3767 A-28169363*
M-ALPS02689526
بحرانی اندروید وان 6 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در مؤلفه عملکرد کوالکام

افزایش آسیب پذیری امتیاز در مؤلفه عملکرد کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به باز کردن سیستم عامل داشته باشد، به عنوان شدت بحرانی رتبه بندی می شود.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3768 A-28172137* QC-CR1010644 بحرانی Nexus 5، Nexus 6، Nexus 5X، Nexus 6P، Nexus 7 (2013) 9 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA

افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3769 A-28376656*
N-CVE20163769
بحرانی Nexus 9 18 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایورهای MediaTek (ویژه دستگاه)

افزایش آسیب پذیری امتیاز در چندین درایور مدیاتک می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3770 A-28346752*
M-ALPS02703102
بحرانی اندروید وان 22 آوریل 2016
CVE-2016-3771 A-29007611*
M-ALPS02703102
بحرانی اندروید وان 22 آوریل 2016
CVE-2016-3772 A-29008188*
M-ALPS02703102
بحرانی اندروید وان 22 آوریل 2016
CVE-2016-3773 A-29008363*
M-ALPS02703102
بحرانی اندروید وان 22 آوریل 2016
CVE-2016-3774 A-29008609*
M-ALPS02703102
بحرانی اندروید وان 22 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در سیستم فایل هسته

افزایش آسیب پذیری امتیاز در سیستم فایل هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3775 A-28588279* بحرانی Nexus 5X، Nexus 6، Nexus 6P و Nexus Player، Pixel C 4 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور USB

افزایش آسیب پذیری امتیاز در درایور USB می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به باز کردن سیستم عامل داشته باشد، به عنوان شدت بحرانی رتبه بندی می شود.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2015-8816 A-28712303* بحرانی Nexus 5X، Nexus 6، Nexus 6P، Nexus 7 (2013)، Nexus 9، Nexus Player، Pixel C 4 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در قطعات کوالکام

جدول زیر حاوی آسیب‌پذیری‌های امنیتی است که بر اجزای کوالکام از جمله بوت لودر، درایور دوربین، درایور کاراکتر، شبکه، درایور صدا و درایور ویدیو تأثیر می‌گذارد.

شدیدترین این مشکلات به دلیل امکان اجرای کد دلخواه که منجر به احتمال به خطر افتادن دستگاه دائمی محلی می شود، به عنوان بحرانی رتبه بندی می شود، که ممکن است برای تعمیر دستگاه نیاز به reflash کردن سیستم عامل داشته باشد.

CVE منابع شدت * دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2014-9795 الف-28820720
QC-CR681957 [ 2 ]
بحرانی نکسوس 5 8 اوت 2014
CVE-2014-9794 الف-28821172
QC-CR646385
بحرانی Nexus 7 (2013) 8 اوت 2014
CVE-2015-8892 الف-28822807
QC-CR902998
بحرانی Nexus 5X، Nexus 6P 30 دسامبر 2015
CVE-2014-9781 الف-28410333
QC-CR556471
بالا Nexus 7 (2013) 6 فوریه 2014
CVE-2014-9786 الف-28557260
QC-CR545979
بالا Nexus 5، Nexus 7 (2013) 13 مارس 2014
CVE-2014-9788 الف-28573112
QC-CR548872
بالا نکسوس 5 13 مارس 2014
CVE-2014-9779 الف-28598347
QC-CR548679
بالا نکسوس 5 13 مارس 2014
CVE-2014-9780 A-28602014
QC-CR542222
بالا Nexus 5، Nexus 5X، Nexus 6P 13 مارس 2014
CVE-2014-9789 الف-28749392
QC-CR556425
بالا نکسوس 5 13 مارس 2014
CVE-2014-9793 الف-28821253
QC-CR580567
بالا Nexus 7 (2013) 13 مارس 2014
CVE-2014-9782 الف-28431531
QC-CR511349
بالا Nexus 5، Nexus 7 (2013) 31 مارس 2014
CVE-2014-9783 الف-28441831
QC-CR511382 [ 2 ]
بالا Nexus 7 (2013) 31 مارس 2014
CVE-2014-9785 الف-28469042
QC-CR545747
بالا Nexus 7 (2013) 31 مارس 2014
CVE-2014-9787 الف-28571496
QC-CR545764
بالا Nexus 7 (2013) 31 مارس 2014
CVE-2014-9784 الف-28442449
QC-CR585147
بالا Nexus 5، Nexus 7 (2013) 30 آوریل 2014
CVE-2014-9777 الف-28598501
QC-CR563654
بالا Nexus 5، Nexus 7 (2013) 30 آوریل 2014
CVE-2014-9778 الف-28598515
QC-CR563694
بالا Nexus 5، Nexus 7 (2013) 30 آوریل 2014
CVE-2014-9790 الف-28769136
QC-CR545716 [ 2 ]
بالا Nexus 5، Nexus 7 (2013) 30 آوریل 2014
CVE-2014-9792 الف-28769399
QC-CR550606
بالا نکسوس 5 30 آوریل 2014
CVE-2014-9797 الف-28821090
QC-CR674071
بالا نکسوس 5 3 جولای 2014
CVE-2014-9791 الف-28803396
QC-CR659364
بالا Nexus 7 (2013) 29 اوت 2014
CVE-2014-9796 الف-28820722
QC-CR684756
بالا Nexus 5، Nexus 7 (2013) 30 سپتامبر 2014
CVE-2014-9800 الف-28822150
QC-CR692478
بالا Nexus 5، Nexus 7 (2013) 31 اکتبر 2014
CVE-2014-9799 الف-28821731
QC-CR691916
بالا Nexus 5، Nexus 7 (2013) 31 اکتبر 2014
CVE-2014-9801 الف-28822060
QC-CR705078
بالا نکسوس 5 28 نوامبر 2014
CVE-2014-9802 الف-28821965
QC-CR705108
بالا Nexus 5، Nexus 7 (2013) 31 دسامبر 2014
CVE-2015-8891 الف-28842418
QC-CR813930
بالا Nexus 5، Nexus 7 (2013) 29 مه 2015
CVE-2015-8888 الف-28822465
QC-CR813933
بالا نکسوس 5 30 ژوئن 2015
CVE-2015-8889 الف-28822677
QC-CR804067
بالا Nexus 6P 30 ژوئن 2015
CVE-2015-8890 الف-28822878
QC-CR823461
بالا Nexus 5، Nexus 7 (2013) 19 اوت 2015

* درجه بندی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.

افزایش آسیب پذیری امتیاز در درایور USB Qualcomm

افزایش آسیب پذیری امتیاز در درایور USB Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-2502 A-27657963 QC-CR997044 بالا Nexus 5X، Nexus 6P 11 مارس 2016

افزایش آسیب پذیری امتیاز در درایور وای فای کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3792 A-27725204 QC-CR561022 بالا Nexus 7 (2013) 17 مارس 2016

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-2501 A-27890772* QC-CR1001092 بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 7 (2013) 27 مارس 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور دوربین NVIDIA

افزایش آسیب پذیری امتیاز در درایور دوربین NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3793 A-28026625*
N-CVE20163793
بالا Nexus 9 5 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور قدرت مدیاتک

افزایش امتیاز در درایور قدرت MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3795 A-28085222*
M-ALPS02677244
بالا اندروید وان 7 آوریل 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244
بالا اندروید وان 7 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور وای فای کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3797 A-28085680* QC-CR1001450 بالا Nexus 5X 7 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور سنسور سخت افزار مدیاتک

افزایش آسیب پذیری امتیاز در درایور حسگر سخت افزار MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3798 A-28174490*
M-ALPS02703105
بالا اندروید وان 11 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور ویدیوی مدیاتک

افزایش آسیب پذیری امتیاز در درایور ویدیوی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3799 A-28175025*
M-ALPS02693738
بالا اندروید وان 11 آوریل 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
بالا اندروید وان 11 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور GPS MediaTek

افزایش آسیب پذیری امتیاز در درایور GPS MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3801 A-28174914*
M-ALPS02688853
بالا اندروید وان 11 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در سیستم فایل هسته

افزایش آسیب پذیری امتیاز در سیستم فایل هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. This issue is rated as High because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3802 A-28271368* بالا Nexus 9 Apr 19, 2016
CVE-2016-3803 A-28588434* بالا Nexus 5X, Nexus 6P May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power management driver

An elevation of privilege in the MediaTek power management driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3804 A-28332766*
M-ALPS02694410
بالا Android One Apr 20, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
بالا Android One Apr 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek display driver

An elevation of privilege vulnerability in the MediaTek display driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3806 A-28402341*
M-ALPS02715341
بالا Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in serial peripheral interface driver

An elevation of privilege vulnerability in the serial peripheral interface driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3807 A-28402196* بالا Nexus 5X, Nexus 6P Apr 26, 2016
CVE-2016-3808 A-28430009* بالا Pixel C Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm sound driver

An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High severity because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-2068 A-28470967 QC-CR1006609 بالا Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 28, 2016

Elevation of privilege vulnerability in kernel

An elevation of privilege vulnerability in the kernel could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2014-9803 A-28557020
هسته بالادست
بالا Nexus 5X, Nexus 6P Google internal

Information disclosure vulnerability in networking component

An information disclosure vulnerability in the networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3809 A-27532522* بالا All Nexus Mar 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek Wi-Fi driver

An information disclosure vulnerability in the MediaTek Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3810 A-28175522*
M-ALPS02694389
بالا Android One Apr 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel video driver

An elevation of privilege vulnerability in the kernel video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3811 A-28447556* در حد متوسط Nexus 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3812 A-28174833*
M-ALPS02688832
در حد متوسط Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3813 A-28172322* QC-CR1010222 در حد متوسط Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the NVIDIA camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3814 A-28193342*
N-CVE20163814
در حد متوسط Nexus 9 Apr 14, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
در حد متوسط Nexus 9 May 1, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek display driver

An information disclosure vulnerability in the MediaTek display driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-3816 A-28402240* در حد متوسط Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel teletype driver

An information disclosure vulnerability in the teletype driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2016-0723 A-28409131
هسته بالادست
در حد متوسط Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C Apr 26, 2016

Denial of service vulnerability in Qualcomm bootloader

A denial of service vulnerability in the Qualcomm bootloader could enable a local malicious application to cause a local permanent device compromise, which may require reflashing the operating system to repair the device. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Nexus devices Date reported
CVE-2014-9798 A-28821448 QC-CR681965 در حد متوسط Nexus 5 Oct 31, 2014
CVE-2015-8893 A-28822690 QC-CR822275 در حد متوسط Nexus 5, Nexus 7 (2013) Aug 19, 2015

پرسش و پاسخ متداول

این بخش به سوالات رایجی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

Security Patch Levels of 2016-07-01 or later address all issues associated with the 2016-7-01 security patch string level. Security Patch Levels of 2016-07-05 or later address all issues associated with the 2016-07-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-07-01] or [ro.build.version.security_patch]:[2016-07-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of July 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the July 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use July 1, 2016 security patch level may also include a subset of fixes associated with the July 5, 2016 security patch level.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-07-01 and 2016-07-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. These prefixes map as follows:

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA

Revisions

  • July 06, 2016: Bulletin published.
  • July 07, 2016:
    • Added AOSP links.
    • Removed CVE-2016-3794 because it is a duplicate of CVE-2016-3814
    • Added attribution for CVE-2016-2501 and CVE-2016-2502
  • July 11, 2016: Updated attribution for CVE-2016-3750
  • July 14, 2016: Updated attribution for CVE-2016-2503
  • April 1, 2019: Updated patch links for CVE-2016-3818