Android-Sicherheitsbulletin – Juli 2016

Veröffentlicht am 06.07.2016 | Aktualisiert am 1. April 2019

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Sicherheits-Patch-Levels vom 5. Juli 2016 oder später behandeln alle zutreffenden Probleme in diesem Bulletin. Lesen Sie die Dokumentation , um zu erfahren, wie Sie den Sicherheits-Patch-Level überprüfen.

Partner wurden über die im Bulletin beschriebenen Probleme am 6. Juni 2016 oder früher benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.

Wir haben keine Berichte über aktive Ausbeutung oder Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzung für Android- und Google-Dienste .

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Ankündigungen

  • Dieses Bulletin definiert zwei Sicherheits-Patch-Level-Strings, um Android-Partnern die Flexibilität zu geben, schneller vorzugehen, um eine Teilmenge von Schwachstellen zu beheben, die auf allen Android-Geräten ähnlich sind. Weitere Informationen finden Sie unter Häufige Fragen und Antworten :
    • 2016-07-01 : Partielle Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2016-07-01 behoben wurden.
    • 2016-07-05 : Vollständiger Sicherheits-Patch-Level-String. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2016-07-01 und 2016-07-05 behoben wurden.
  • Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch vom 5. Juli 2016.

Minderungen für Android- und Google-Dienste

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.

  • Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet , die entwickelt wurden, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Apps überprüfen ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Entsprechend übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Abhishek Arya, Oliver Chang und Martin Barbella vom Google Chrome-Sicherheitsteam: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • Adam Dönenfeld et al. von Check Point Software Technologies Ltd.: CVE-2016-2503
  • Adam Powell von Google: CVE-2016-3752
  • Alex Chapman und Paul Stone von Context Information Security: CVE-2016-3763
  • Andy Tyler ( @ticarpi ) von e2e-assure : CVE-2016-2457
  • Ben Hawkes von Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) und Xuxian Jiang vom C0RE Team : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • Christopher Tate von Google: CVE-2016-3759
  • Di Shen ( @returnsme ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • Greg Kaiser vom Google Android-Team: CVE-2016-3758
  • Guang Gong (龚广) ( @oldfresher ) von Mobile Safe Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • Hao Chen und Guang Gong vom Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
  • Hao Qin vom Security Research Lab, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
  • Jianqiang Zhao ( @jianqiangzhao ) und pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
  • Marco Nelissen von Google: CVE-2016-3818
  • Marke von Google Project Zero: CVE-2016-3757
  • Michał Bednarski : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang und Yang Ssong von Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-3793
  • Ricky Wai von Google: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • Vasily Vasilev: CVE-2016-2507
  • Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
  • Wen Niu ( @NWMonster ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
  • Xiling Gong von der Abteilung für Sicherheitsplattformen von Tencent: CVE-2016-3745
  • Yacong Gu vom TCA Lab, Institut für Software, Chinesische Akademie der Wissenschaften: CVE-2016-3761
  • Yongke Wang ( @Rudykewang ) von Xuanwu LAB, Tencent: CVE-2016-2505
  • Yongke Wang ( @Rudykewang ) und Wei Wei ( @Danny__Wei ) von Xuanwu LAB, Tencent: CVE-2016-2506
  • Yulong Zhang und Tao (Lenx) Wei vom Baidu X-Lab: CVE-2016-3744

2016-07-01 Sicherheits-Patch-Level – Details zu Sicherheitsschwachstellen

In den folgenden Abschnitten stellen wir Details zu allen Sicherheitsschwachstellen bereit, die für das Patch-Level 2016-07-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.

Schwachstelle bezüglich Remotecodeausführung in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei während der Mediendatei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft. Der Mediaserver-Prozess hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2506 A-28175045 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11. April 2016
CVE-2016-2505 A-28333006 Kritisch Alles Nexus 6.0, 6.0.1 21. April 2016
CVE-2016-2507 A-28532266 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2. Mai 2016
CVE-2016-2508 A-28799341 [ 2 ] Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16. Mai 2016
CVE-2016-3741 A-28165661 [ 2 ] Kritisch Alles Nexus 6.0, 6.0.1 Google-intern
CVE-2016-3742 A-28165659 Kritisch Alles Nexus 6.0, 6.0.1 Google-intern
CVE-2016-3743 A-27907656 Kritisch Alles Nexus 6.0, 6.0.1 Google-intern

Schwachstelle bezüglich Remotecodeausführung in OpenSSL und BoringSSL

Eine Schwachstelle bezüglich Remotecodeausführung in OpenSSL und BoringSSL könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um während der Datei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext eines betroffenen Prozesses als kritisch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2108 A-28175332 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3. Mai 2016

Schwachstelle bezüglich Remotecodeausführung in Bluetooth

Eine Schwachstelle bei der Remote-Code-Ausführung in Bluetooth könnte es einem nahen Angreifer ermöglichen, während des Pairing-Prozesses beliebigen Code auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung während der Initialisierung eines Bluetooth-Geräts als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3744 A-27930580 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30. März 2016

Sicherheitslücke bezüglich Erhöhung von Berechtigungen in libpng

Eine Schwachstelle bezüglich Rechteerweiterungen in libpng könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer erhöhten Systemanwendung auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3751 A-23265085 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3. Dezember 2015

Sicherheitslücke bezüglich Erhöhung von Berechtigungen in Mediaserver

Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3745 A-28173666 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10. April 2016
CVE-2016-3746 A-27890802 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27. März 2016
CVE-2016-3747 A-27903498 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28. März 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Sockets

Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen in Sockets könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Systemaufrufe außerhalb ihrer Berechtigungsstufe zuzugreifen. Dieses Problem wird als hoch eingestuft, da es eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen könnte, um Angreifern die Nutzung der Plattform zu erschweren.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3748 A-28171804 Hoch Alles Nexus 6.0, 6.0.1 13. April 2016

Schwachstelle bezüglich Erhöhung von Berechtigungen in LockSettingsService

Eine Schwachstelle bezüglich Rechteerweiterungen im LockSettingsService könnte es einer böswilligen Anwendung ermöglichen, das Kennwort für die Bildschirmsperre ohne Autorisierung des Benutzers zurückzusetzen. Dieses Problem wird als Hoch eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen für Änderungen von Entwickler- oder Sicherheitseinstellungen handelt.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3749 A-28163930 Hoch Alles Nexus 6.0, 6.0.1 Google-intern

Schwachstelle bezüglich Erhöhung von Berechtigungen in Framework-APIs

Eine Sicherheitsanfälligkeit bezüglich Rechteerweiterungen in den Parcels Framework-APIs könnte es einer lokalen bösartigen Anwendung ermöglichen, den Schutz des Betriebssystems zu umgehen, der Anwendungsdaten von anderen Anwendungen isoliert. Dieses Problem wird als Hoch eingestuft, da es dazu verwendet werden könnte, auf Daten zuzugreifen, auf die die Anwendung keinen Zugriff hat.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3750 A-28395952 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16. Dezember 2015

Schwachstelle bezüglich Rechteerhöhung im Dienst ChooserTarget

Eine Schwachstelle bezüglich Rechteerweiterungen im ChooserTarget-Dienst könnte es einer lokalen bösartigen Anwendung ermöglichen, Code im Kontext einer anderen Anwendung auszuführen. Dieses Problem wird als Hoch eingestuft, da es dazu verwendet werden könnte, ohne Erlaubnis auf Aktivitäten zuzugreifen, die zu einer anderen Anwendung gehören.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3752 A-28384423 Hoch Alles Nexus 6.0, 6.0.1 Google-intern

Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver

Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einem entfernten Angreifer ermöglichen, auf geschützte Daten zuzugreifen, auf die normalerweise nur lokal installierte Apps zugreifen können, die eine Erlaubnis anfordern. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf Daten ohne Erlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3753 A-27210135 Hoch Keiner* 4.4.4 15. Februar 2016

* Unterstützte Nexus-Geräte, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Schwachstelle bezüglich Offenlegung von Informationen in OpenSSL

Eine Schwachstelle zur Offenlegung von Informationen in OpenSSL könnte es einem entfernten Angreifer ermöglichen, auf geschützte Daten zuzugreifen, auf die normalerweise nur lokal installierte Apps zugreifen können, die eine Erlaubnis anfordern. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf Daten ohne Erlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2107 A-28550804 Hoch Keiner* 4.4.4, 5.0.2, 5.1.1 13. April 2016

* Unterstützte Nexus-Geräte, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Denial-of-Service-Schwachstelle in Mediaserver

Eine Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit einer vorübergehenden Dienstverweigerung aus der Ferne als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3754 A-28615448 [ 2 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5. Mai 2016
CVE-2016-3755 A-28470138 Hoch Alles Nexus 6.0, 6.0.1 29. April 2016
CVE-2016-3756 A-28556125 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Denial-of-Service-Schwachstelle in libc

Eine Denial-of-Service-Schwachstelle in libc könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3818 A-28740702 [ 2 ] Hoch Keiner* 4.4.4 Google-intern

* Unterstützte Nexus-Geräte, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Erhöhung der Privilegien-Schwachstelle in lsof

Eine Schwachstelle bezüglich Rechteerweiterungen in lsof könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code auszuführen, der zu einer dauerhaften Kompromittierung des Geräts führen könnte. Dieses Problem wird als mittel eingestuft, da es ungewöhnliche manuelle Schritte erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3757 A-28175237 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11. April 2016

Sicherheitslücke bezüglich Erhöhung von Berechtigungen in DexClassLoader

Eine Elevation-of-Privilege-Schwachstelle im DexClassLoader könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als mittel eingestuft, da es ungewöhnliche manuelle Schritte erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3758 A-27840771 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Schwachstelle bezüglich Erhöhung von Berechtigungen in Framework-APIs

Eine Schwachstelle bezüglich Rechteerweiterungen in den Framework-APIs könnte es einer lokalen bösartigen Anwendung ermöglichen, Backup-Berechtigungen anzufordern und alle Backup-Daten abzufangen. Dieses Problem wird als mäßig eingestuft, da es bestimmte Berechtigungen erfordert, um Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3759 A-28406080 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Elevation of Privilege-Schwachstelle in Bluetooth

Eine Schwachstelle bezüglich Rechteerweiterungen in der Bluetooth-Komponente könnte es einem lokalen Angreifer ermöglichen, ein authentifiziertes Bluetooth-Gerät hinzuzufügen, das für den primären Benutzer bestehen bleibt. Dieses Problem wird als moderat eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen ohne ausdrückliche Benutzererlaubnis zu erhalten.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3760 A-27410683 [ 2 ] [ 3 ] Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 29. Februar 2016

Elevation of Privilege-Schwachstelle in NFC

Eine Schwachstelle bezüglich Rechteerweiterungen in NFC könnte es einer lokalen bösartigen Hintergrundanwendung ermöglichen, auf Informationen von einer Vordergrundanwendung zuzugreifen. Dieses Problem wird als moderat eingestuft, da es dazu verwendet werden könnte, erweiterte Funktionen ohne ausdrückliche Benutzererlaubnis zu erhalten.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3761 A-28300969 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20. April 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Sockets

Eine Schwachstelle bezüglich Rechteerweiterungen in Sockets könnte es einer lokalen bösartigen Anwendung ermöglichen, Zugriff auf bestimmte ungewöhnliche Socket-Typen zu erhalten, was möglicherweise zur Ausführung willkürlichen Codes im Kontext des Kernels führt. Dieses Problem wird als moderat eingestuft, da es eine Umgehung vorhandener Sicherheitsmaßnahmen ermöglichen könnte, um Angreifern die Nutzung der Plattform zu erschweren.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3762 A-28612709 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 21. April 2016

Schwachstelle bezüglich Offenlegung von Informationen in Proxy Auto-Config

Eine Schwachstelle bezüglich der Offenlegung von Informationen in der Proxy Auto-Config-Komponente könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es für den Zugriff auf Daten ohne Genehmigung verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3763 A-27593919 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10. März 2016

Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver

Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf Daten verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3764 A-28377502 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25. April 2016
CVE-2016-3765 A-28168413 Mäßig Alles Nexus 6.0, 6.0.1 8. April 2016

Denial-of-Service-Schwachstelle in Mediaserver

Eine Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als moderat eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3766 A-28471206 [ 2 ] Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29. April 2016

Sicherheits-Patch-Level vom 05.07.2016 – Details zur Schwachstelle

In den folgenden Abschnitten stellen wir Details zu allen Sicherheitsschwachstellen bereit, die für das Patch-Level vom 05.07.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.

Elevation-of-Privilege-Schwachstelle im Qualcomm-GPU-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-GPU-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2503 A-28084795* QC-CR1006067 Kritisch Nexus 5X, Nexus 6P 5. April 2016
CVE-2016-2067 A-28305757 QC-CR988993 Kritisch Nexus 5X, Nexus 6, Nexus 6P 20. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im MediaTek Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3767 A-28169363*
M-ALPS02689526
Kritisch Android One 6. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle in der Qualcomm-Leistungskomponente

Eine Elevation-of-Privilege-Schwachstelle in der Leistungskomponente von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3768 A-28172137* QC-CR1010644 Kritisch Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im NVIDIA-Grafiktreiber

Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-Grafiktreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3769 A-28376656*
N-CVE20163769
Kritisch Verbindung 9 18. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich Rechteerhöhung in MediaTek-Treibern (gerätespezifisch)

Eine Elevation-of-Privilege-Schwachstelle in mehreren MediaTek-Treibern könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3770 A-28346752*
M-ALPS02703102
Kritisch Android One 22. April 2016
CVE-2016-3771 A-29007611*
M-ALPS02703102
Kritisch Android One 22. April 2016
CVE-2016-3772 A-29008188*
M-ALPS02703102
Kritisch Android One 22. April 2016
CVE-2016-3773 A-29008363*
M-ALPS02703102
Kritisch Android One 22. April 2016
CVE-2016-3774 A-29008609*
M-ALPS02703102
Kritisch Android One 22. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Dateisystem

Eine Elevation-of-Privilege-Schwachstelle im Kernel-Dateisystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3775 A-28588279* Kritisch Nexus 5X, Nexus 6, Nexus 6P und Nexus Player, Pixel C 4. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich Rechteerhöhung im USB-Treiber

Eine Elevation-of-Privilege-Schwachstelle im USB-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2015-8816 A-28712303* Kritisch Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 4. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle in Qualcomm-Komponenten

Die folgende Tabelle enthält Sicherheitslücken, die Qualcomm-Komponenten betreffen, einschließlich Bootloader, Kameratreiber, Zeichentreiber, Netzwerk, Soundtreiber und Videotreiber.

Das schwerwiegendste dieser Probleme wird als Kritisch eingestuft, da die Möglichkeit der Ausführung willkürlichen Codes zur Möglichkeit einer lokalen dauerhaften Gerätekompromittierung führt, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere* Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2014-9795 A-28820720
QC-CR681957 [ 2 ]
Kritisch Nexus 5 8. August 2014
CVE-2014-9794 A-28821172
QC-CR646385
Kritisch Verbindung 7 (2013) 8. August 2014
CVE-2015-8892 A-28822807
QC-CR902998
Kritisch Nexus 5X, Nexus 6P 30. Dezember 2015
CVE-2014-9781 A-28410333
QC-CR556471
Hoch Verbindung 7 (2013) 6. Februar 2014
CVE-2014-9786 A-28557260
QC-CR545979
Hoch Verbindung 5, Verbindung 7 (2013) 13. März 2014
CVE-2014-9788 A-28573112
QC-CR548872
Hoch Nexus 5 13. März 2014
CVE-2014-9779 A-28598347
QC-CR548679
Hoch Nexus 5 13. März 2014
CVE-2014-9780 A-28602014
QC-CR542222
Hoch Nexus 5, Nexus 5X, Nexus 6P 13. März 2014
CVE-2014-9789 A-28749392
QC-CR556425
Hoch Nexus 5 13. März 2014
CVE-2014-9793 A-28821253
QC-CR580567
Hoch Verbindung 7 (2013) 13. März 2014
CVE-2014-9782 A-28431531
QC-CR511349
Hoch Verbindung 5, Verbindung 7 (2013) 31. März 2014
CVE-2014-9783 A-28441831
QC-CR511382 [ 2 ]
Hoch Verbindung 7 (2013) 31. März 2014
CVE-2014-9785 A-28469042
QC-CR545747
Hoch Verbindung 7 (2013) 31. März 2014
CVE-2014-9787 A-28571496
QC-CR545764
Hoch Verbindung 7 (2013) 31. März 2014
CVE-2014-9784 A-28442449
QC-CR585147
Hoch Verbindung 5, Verbindung 7 (2013) 30. April 2014
CVE-2014-9777 A-28598501
QC-CR563654
Hoch Verbindung 5, Verbindung 7 (2013) 30. April 2014
CVE-2014-9778 A-28598515
QC-CR563694
Hoch Verbindung 5, Verbindung 7 (2013) 30. April 2014
CVE-2014-9790 A-28769136
QC-CR545716 [ 2 ]
Hoch Verbindung 5, Verbindung 7 (2013) 30. April 2014
CVE-2014-9792 A-28769399
QC-CR550606
Hoch Nexus 5 30. April 2014
CVE-2014-9797 A-28821090
QC-CR674071
Hoch Nexus 5 3. Juli 2014
CVE-2014-9791 A-28803396
QC-CR659364
Hoch Verbindung 7 (2013) 29. August 2014
CVE-2014-9796 A-28820722
QC-CR684756
Hoch Verbindung 5, Verbindung 7 (2013) 30. September 2014
CVE-2014-9800 A-28822150
QC-CR692478
Hoch Verbindung 5, Verbindung 7 (2013) 31. Oktober 2014
CVE-2014-9799 A-28821731
QC-CR691916
Hoch Verbindung 5, Verbindung 7 (2013) 31. Oktober 2014
CVE-2014-9801 A-28822060
QC-CR705078
Hoch Nexus 5 28. November 2014
CVE-2014-9802 A-28821965
QC-CR705108
Hoch Verbindung 5, Verbindung 7 (2013) 31. Dezember 2014
CVE-2015-8891 A-28842418
QC-CR813930
Hoch Verbindung 5, Verbindung 7 (2013) 29. Mai 2015
CVE-2015-8888 A-28822465
QC-CR813933
Hoch Nexus 5 30. Juni 2015
CVE-2015-8889 A-28822677
QC-CR804067
Hoch Nexus 6P 30. Juni 2015
CVE-2015-8890 A-28822878
QC-CR823461
Hoch Verbindung 5, Verbindung 7 (2013) 19. August 2015

* Die Schweregradbewertung für diese Probleme wird direkt von Qualcomm bereitgestellt.

Elevation of Privilege-Schwachstelle im Qualcomm USB-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-USB-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2502 A-27657963 QC-CR997044 Hoch Nexus 5X, Nexus 6P 11. März 2016

Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3792 A-27725204 QC-CR561022 Hoch Verbindung 7 (2013) 17. März 2016

Elevation of Privilege-Schwachstelle im Qualcomm-Kameratreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Kameratreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2501 A-27890772* QC-CR1001092 Hoch Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 27. März 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation-of-Privilege-Schwachstelle im NVIDIA-Kameratreiber

Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-Kameratreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3793 A-28026625*
N-CVE20163793
Hoch Verbindung 9 5. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im MediaTek-Power-Treiber

Eine Rechteerweiterung im MediaTek-Power-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3795 A-28085222*
M-ALPS02677244
Hoch Android One 7. April 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244
Hoch Android One 7. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3797 A-28085680* QC-CR1001450 Hoch Nexus 5X 7. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im MediaTek-Hardwaresensortreiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Hardwaresensortreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3798 A-28174490*
M-ALPS02703105
Hoch Android One 11. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im MediaTek-Grafiktreiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Grafiktreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3799 A-28175025*
M-ALPS02693738
Hoch Android One 11. April 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
Hoch Android One 11. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im MediaTek-GPS-Treiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek-GPS-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3801 A-28174914*
M-ALPS02688853
Hoch Android One 11. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Dateisystem

Eine Elevation-of-Privilege-Schwachstelle im Kernel-Dateisystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. This issue is rated as High because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3802 A-28271368* Hoch Nexus 9 Apr 19, 2016
CVE-2016-3803 A-28588434* Hoch Nexus 5X, Nexus 6P May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power management driver

An elevation of privilege in the MediaTek power management driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3804 A-28332766*
M-ALPS02694410
Hoch Android One Apr 20, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
Hoch Android One Apr 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek display driver

An elevation of privilege vulnerability in the MediaTek display driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3806 A-28402341*
M-ALPS02715341
Hoch Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in serial peripheral interface driver

An elevation of privilege vulnerability in the serial peripheral interface driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3807 A-28402196* Hoch Nexus 5X, Nexus 6P Apr 26, 2016
CVE-2016-3808 A-28430009* Hoch Pixel C Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm sound driver

An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High severity because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-2068 A-28470967 QC-CR1006609 Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 28, 2016

Elevation of privilege vulnerability in kernel

An elevation of privilege vulnerability in the kernel could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2014-9803 A-28557020
Upstream-Kernel
Hoch Nexus 5X, Nexus 6P Google internal

Information disclosure vulnerability in networking component

An information disclosure vulnerability in the networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3809 A-27532522* Hoch All Nexus Mar 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek Wi-Fi driver

An information disclosure vulnerability in the MediaTek Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3810 A-28175522*
M-ALPS02694389
Hoch Android One Apr 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel video driver

An elevation of privilege vulnerability in the kernel video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3811 A-28447556* Mäßig Nexus 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3812 A-28174833*
M-ALPS02688832
Mäßig Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3813 A-28172322* QC-CR1010222 Mäßig Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the NVIDIA camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3814 A-28193342*
N-CVE20163814
Mäßig Nexus 9 Apr 14, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
Mäßig Nexus 9 May 1, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek display driver

An information disclosure vulnerability in the MediaTek display driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-3816 A-28402240* Mäßig Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel teletype driver

An information disclosure vulnerability in the teletype driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-0723 A-28409131
Upstream-Kernel
Mäßig Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C Apr 26, 2016

Denial of service vulnerability in Qualcomm bootloader

A denial of service vulnerability in the Qualcomm bootloader could enable a local malicious application to cause a local permanent device compromise, which may require reflashing the operating system to repair the device. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2014-9798 A-28821448 QC-CR681965 Mäßig Nexus 5 Oct 31, 2014
CVE-2015-8893 A-28822690 QC-CR822275 Mäßig Nexus 5, Nexus 7 (2013) Aug 19, 2015

Häufige Fragen und Antworten

In diesem Abschnitt werden allgemeine Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Security Patch Levels of 2016-07-01 or later address all issues associated with the 2016-7-01 security patch string level. Security Patch Levels of 2016-07-05 or later address all issues associated with the 2016-07-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-07-01] or [ro.build.version.security_patch]:[2016-07-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of July 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the July 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use July 1, 2016 security patch level may also include a subset of fixes associated with the July 5, 2016 security patch level.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-07-01 and 2016-07-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Einträge in der Spalte „ Referenzen “ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört. These prefixes map as follows:

Präfix Bezug
EIN- Android-Fehler-ID
QC- Qualcomm-Referenznummer
M- MediaTek-Referenznummer
N- NVIDIA-Referenznummer

Revisions

  • July 06, 2016: Bulletin published.
  • July 07, 2016:
    • Added AOSP links.
    • Removed CVE-2016-3794 because it is a duplicate of CVE-2016-3814
    • Added attribution for CVE-2016-2501 and CVE-2016-2502
  • July 11, 2016: Updated attribution for CVE-2016-3750
  • July 14, 2016: Updated attribution for CVE-2016-2503
  • April 1, 2019: Updated patch links for CVE-2016-3818