עלון אבטחה של Android—יולי 2016

פורסם ב-06 ביולי 2016 | עודכן ב-1 באפריל, 2019

עלון האבטחה של אנדרואיד מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד. לצד העלון, פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אוויר (OTA). תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 5 ביולי 2016 או מאוחר יותר מתייחסות לכל הבעיות הרלוונטיות בעלון זה. עיין בתיעוד כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה.

שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-6 ביוני 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP). עלון זה כולל גם קישורים לתיקונים מחוץ ל-AOSP.

החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף ההפחתות בשירותי אנדרואיד וגוגל לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד.

אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הכרזות

  • עלון זה מגדיר שתי מחרוזות ברמת תיקון האבטחה כדי לספק לשותפים של אנדרואיד את הגמישות לנוע מהר יותר כדי לתקן קבוצת משנה של פגיעויות הדומות בכל מכשירי האנדרואיד. ראה שאלות ותשובות נפוצות למידע נוסף:
    • 2016-07-01 : מחרוזת רמת תיקון אבטחה חלקית. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-07-01 מטופלות.
    • 2016-07-05 : השלם מחרוזת רמת תיקון האבטחה. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-07-01 ו-2016-07-05 מטופלות.
  • מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 5 ביולי 2016.

הפחתות שירותי אנדרואיד וגוגל

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet , שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק . אימות אפליקציות מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
  • בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון Mediaserver.

תודות

ברצוננו להודות לחוקרים אלו על תרומתם:

  • Abhishek Arya, Oliver Chang ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • אדם דוננפלד ואח'. של צ'ק פוינט טכנולוגיות תוכנה בע"מ: CVE-2016-2503
  • אדם פאוול מגוגל: CVE-2016-3752
  • אלכס צ'פמן ופול סטון מאבטחת מידע בהקשר: CVE-2016-3763
  • אנדי טיילר ( @ticarpi ) מ- e2e-assure : CVE-2016-2457
  • בן הוקס מ-Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • כריסטופר טייט מגוגל: CVE-2016-3759
  • Di Shen ( @returnsme ) מ- KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) ממעבדת IceSword, Qihoo 360 Technology Co. Ltd. , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • גרג קייזר מצוות Google Android: CVE-2016-3758
  • גואנג גונג (龚广) ( @oldfresher ) מ- Mobile Safe Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • Hao Chen ו-Guang Gong מ-Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
  • Hao Qin ממעבדת מחקר אבטחה, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
  • Jianqiang Zhao ( @jianqiangzhao ) ו-pjf ( weibo.com/jfpan ) ממעבדת IceSword, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-307, CVE-2016-3808
  • מרקו נליסן מגוגל: CVE-2016-3818
  • Mark Brand של Google Project Zero: CVE-2016-3757
  • מיכאל בדנרסקי : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang ו-Yang Ssong מקבוצת האבטחה הניידת של Alibaba: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-379816-3799
  • Peter Pi ( @heisecode ) מ-Trend Micro: CVE-2016-3793
  • ריקי וואי מגוגל: CVE-2016-3749
  • רולנד קראק: CVE-2016-3753
  • סקוט באואר ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • וסילי ואסילב: CVE-2016-2507
  • Weichao Sun ( @sunblate ) מ-Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
  • Wen Niu ( @NWMonster ) מ- KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
  • Xiling Gong ממחלקת פלטפורמת האבטחה של Tencent: CVE-2016-3745
  • Yacong Gu ממעבדת TCA, המכון לתוכנה, האקדמיה הסינית למדעים: CVE-2016-3761
  • Yongke Wang ( @Rudykewang ) מ-Xuanwu LAB, Tencent: CVE-2016-2505
  • Yongke Wang ( @Rudykewang ) ו- Wei Wei ( @Danny__Wei ) מ-Xuanwu LAB, Tencent: CVE-2016-2506
  • יולונג ג'אנג וטאו (לנקס) ווי מ-Baidu X-Lab: CVE-2016-3744

רמת תיקון אבטחה 2016-07-01—פרטי פגיעות אבטחה

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-07-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.

פגיעות של ביצוע קוד מרחוק ב-Mediaserver

פגיעות של ביצוע קוד מרחוק ב-Mediaserver עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצי מדיה ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך Mediaserver. לתהליך Mediaserver יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.

הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2506 A-28175045 קריטי הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 באפריל, 2016
CVE-2016-2505 A-28333006 קריטי הכל Nexus 6.0, 6.0.1 21 באפריל, 2016
CVE-2016-2507 A-28532266 קריטי הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 במאי 2016
CVE-2016-2508 A-28799341 [ 2 ] קריטי הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 במאי 2016
CVE-2016-3741 A-28165661 [ 2 ] קריטי הכל Nexus 6.0, 6.0.1 Google פנימי
CVE-2016-3742 A-28165659 קריטי הכל Nexus 6.0, 6.0.1 Google פנימי
CVE-2016-3743 A-27907656 קריטי הכל Nexus 6.0, 6.0.1 Google פנימי

פגיעות של ביצוע קוד מרחוק ב-OpenSSL ו-BoringSSL

פגיעות של ביצוע קוד מרחוק ב-OpenSSL ו-BoringSSL עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצים ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך מושפע.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2108 A-28175332 קריטי הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 במאי 2016

פגיעות של ביצוע קוד מרחוק ב-Bluetooth

פגיעות של ביצוע קוד מרחוק ב-Bluetooth עלולה לאפשר לתוקף פרוקסימלי לבצע קוד שרירותי במהלך תהליך ההתאמה. בעיה זו מדורגת כגבוהה בשל האפשרות של ביצוע קוד מרחוק במהלך האתחול של מכשיר Bluetooth.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3744 A-27930580 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30 במרץ 2016

הפגיעות של העלאת הרשאות ב-libpng

פגיעות העלאת הרשאות ב-libpng עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגברת. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3751 A-23265085 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 בדצמבר 2015

הפגיעות של העלאת הרשאות ב-Mediaserver

פגיעות העלאת הרשאות ב-Mediaserver עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3745 A-28173666 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 באפריל, 2016
CVE-2016-3746 A-27890802 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 במרץ 2016
CVE-2016-3747 A-27903498 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 במרץ 2016

הפגיעות של העלאת הרשאות בשקעים

הפגיעות של העלאת הרשאות בשקעים עלולה לאפשר לאפליקציה זדונית מקומית לגשת לשיחות מערכת מחוץ לרמת ההרשאות שלה. בעיה זו מדורגת כגבוהה מכיוון שהיא עלולה לאפשר עקיפת אמצעי אבטחה במקום כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3748 A-28171804 גָבוֹהַ הכל Nexus 6.0, 6.0.1 13 באפריל, 2016

הפגיעות של העלאת הרשאות ב- LockSettingsService

פגיעות העלאת הרשאות ב- LockSettingsService עלולה לאפשר לאפליקציה זדונית לאפס את סיסמת נעילת המסך ללא אישור מהמשתמש. בעיה זו מדורגת כגבוהה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים עבור כל שינוי של מפתח או הגדרות אבטחה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3749 A-28163930 גָבוֹהַ הכל Nexus 6.0, 6.0.1 Google פנימי

הפגיעות של העלאת הרשאות בממשקי API של Framework

הפגיעות של העלאת הרשאות בממשקי ה-API של Parcels Framework עלולה לאפשר לאפליקציה זדונית מקומית לעקוף הגנות של מערכת הפעלה המבודדות נתוני יישומים מיישומים אחרים. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה לנתונים שאין לאפליקציה גישה אליהם.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3750 A-28395952 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 בדצמבר 2015

הפגיעות של העלאת הרשאות בשירות ChooserTarget

הפגיעות של העלאת הרשאות בשירות ChooserTarget עלולה לאפשר ליישום זדוני מקומי להפעיל קוד בהקשר של יישום אחר. בעיה זו מדורגת גבוה מכיוון שניתן להשתמש בה כדי לגשת לפעילויות השייכות לאפליקציה אחרת ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3752 A-28384423 גָבוֹהַ הכל Nexus 6.0, 6.0.1 Google פנימי

פגיעות של חשיפת מידע ב-Mediaserver

פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר לתוקף מרוחק לגשת לנתונים מוגנים הנגישים בדרך כלל רק לאפליקציות מותקנות מקומיות המבקשות הרשאה. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3753 A-27210135 גָבוֹהַ אף אחד* 4.4.4 15 בפברואר 2016

* מכשירי Nexus נתמכים שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.

פגיעות של חשיפת מידע ב-OpenSSL

פגיעות של חשיפת מידע ב-OpenSSL עלולה לאפשר לתוקף מרוחק לגשת לנתונים מוגנים הנגישים בדרך כלל רק לאפליקציות מותקנות מקומיות המבקשות הרשאה. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-2107 A-28550804 גָבוֹהַ אף אחד* 4.4.4, 5.0.2, 5.1.1 13 באפריל, 2016

* מכשירי Nexus נתמכים שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.

פגיעות מניעת שירות ב-Mediaserver

פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3754 A-28615448 [ 2 ] גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 במאי 2016
CVE-2016-3755 A-28470138 גָבוֹהַ הכל Nexus 6.0, 6.0.1 29 באפריל, 2016
CVE-2016-3756 A-28556125 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

פגיעות מניעת שירות ב-libc

פגיעות של מניעת שירות ב-libc עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. נושא זה מדורג כגבוה בשל האפשרות של מניעת שירות מרחוק.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3818 A-28740702 [ 2 ] גָבוֹהַ אף אחד* 4.4.4 Google פנימי

* מכשירי Nexus נתמכים שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.

פגיעות העלאת הרשאות ב-lsof

הפגיעות של העלאת הרשאות ב-lsof עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי שעלול להוביל לפגיעה קבועה במכשיר. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת שלבים ידניים לא שכיחים.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3757 A-28175237 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 באפריל, 2016

הפגיעות של העלאת הרשאות ב-DexClassLoader

הפגיעות של העלאת הרשאות ב-DexClassLoader עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת שלבים ידניים לא שכיחים.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3758 A-27840771 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

הפגיעות של העלאת הרשאות בממשקי API של Framework

הפגיעות של העלאת הרשאות בממשקי ה-API של Framework עלולה לאפשר לאפליקציה זדונית מקומית לבקש הרשאות גיבוי וליירט את כל נתוני הגיבוי. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת הרשאות ספציפיות כדי לעקוף הגנות של מערכת ההפעלה המבודדות נתוני אפליקציות מיישומים אחרים.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3759 A-28406080 לְמַתֵן הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google פנימי

הפגיעות של העלאת הרשאות ב-Bluetooth

פגיעות העלאת הרשאות ברכיב ה-Bluetooth עלולה לאפשר לתוקף מקומי להוסיף התקן Bluetooth מאומת שנמשך עבור המשתמש הראשי. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות ללא הרשאת משתמש מפורשת.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3760 A-27410683 [ 2 ] [ 3 ] לְמַתֵן הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 29 בפברואר 2016

הפגיעות של העלאת הרשאות ב-NFC

הפגיעות של העלאת הרשאות ב-NFC עלולה לאפשר ליישום רקע זדוני מקומי לגשת למידע מיישום חזית. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות ללא הרשאת משתמש מפורשת.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3761 A-28300969 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20 באפריל, 2016

הפגיעות של העלאת הרשאות בשקעים

הפגיעות של העלאת הרשאות בשקעים עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה לסוגי שקעים נדירים מסוימים שעלולה להוביל לביצוע קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כמתונה מכיוון שהיא עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3762 A-28612709 לְמַתֵן הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 21 באפריל, 2016

פגיעות של חשיפת מידע ב-Proxy Auto-Config

פגיעות של חשיפת מידע ברכיב Proxy Auto-Config עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא הרשאה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3763 A-27593919 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 במרץ 2016

פגיעות של חשיפת מידע ב-Mediaserver

פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית לגשת למידע רגיש. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3764 A-28377502 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 באפריל, 2016
CVE-2016-3765 A-28168413 לְמַתֵן הכל Nexus 6.0, 6.0.1 8 באפריל, 2016

פגיעות מניעת שירות ב-Mediaserver

פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. נושא זה מדורג כבינוני בשל האפשרות של מניעת שירות מרחוק.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3766 A-28471206 [ 2 ] לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 באפריל, 2016

רמת תיקון האבטחה של 2016-07-05—פרטי פגיעות

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-07-05. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2503 A-28084795* QC-CR1006067 קריטי Nexus 5X, Nexus 6P 5 באפריל, 2016
CVE-2016-2067 A-28305757 QC-CR988993 קריטי Nexus 5X, Nexus 6, Nexus 6P 20 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של MediaTek

הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3767 A-28169363*
M-ALPS02689526
קריטי Android One 6 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות ברכיב הביצועים של Qualcomm

הפגיעות של העלאת הרשאות ברכיב הביצועים של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3768 A-28172137* QC-CR1010644 קריטי Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן וידאו של NVIDIA

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3769 A-28376656*
N-CVE20163769
קריטי Nexus 9 18 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהלי התקנים של MediaTek (ספציפי למכשיר)

הפגיעות של העלאת הרשאות במספר מנהלי התקנים של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3770 A-28346752*
M-ALPS02703102
קריטי Android One 22 באפריל, 2016
CVE-2016-3771 A-29007611*
M-ALPS02703102
קריטי Android One 22 באפריל, 2016
CVE-2016-3772 A-29008188*
M-ALPS02703102
קריטי Android One 22 באפריל, 2016
CVE-2016-3773 A-29008363*
M-ALPS02703102
קריטי Android One 22 באפריל, 2016
CVE-2016-3774 A-29008609*
M-ALPS02703102
קריטי Android One 22 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במערכת קבצי הליבה

הפגיעות של העלאת הרשאות במערכת קבצי הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3775 A-28588279* קריטי Nexus 5X, Nexus 6, Nexus 6P ו-Nexus Player, Pixel C 4 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן USB

הפגיעות של העלאת הרשאות במנהל ההתקן של ה-USB עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2015-8816 A-28712303* קריטי Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 4 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות ברכיבי קוואלקום

הטבלה שלהלן מכילה פרצות אבטחה המשפיעות על רכיבי קוואלקום, לרבות טוען האתחול, מנהל התקן המצלמה, מנהל ההתקן של התווים, הרשת, מנהל ההתקן הקול ומנהל ההתקן של הווידאו.

הבעיות החמורות ביותר מדורגות כקריטיות עקב אפשרות של ביצוע קוד שרירותי המוביל לאפשרות של התפשרות מקומית קבועה במכשיר, מה שעלול לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה* מכשירי Nexus מעודכנים תאריך דיווח
CVE-2014-9795 A-28820720
QC-CR681957 [ 2 ]
קריטי נקסוס 5 8 באוגוסט 2014
CVE-2014-9794 A-28821172
QC-CR646385
קריטי Nexus 7 (2013) 8 באוגוסט 2014
CVE-2015-8892 A-28822807
QC-CR902998
קריטי Nexus 5X, Nexus 6P 30 בדצמבר 2015
CVE-2014-9781 A-28410333
QC-CR556471
גָבוֹהַ Nexus 7 (2013) 6 בפברואר 2014
CVE-2014-9786 A-28557260
QC-CR545979
גָבוֹהַ Nexus 5, Nexus 7 (2013) 13 במרץ 2014
CVE-2014-9788 A-28573112
QC-CR548872
גָבוֹהַ נקסוס 5 13 במרץ 2014
CVE-2014-9779 A-28598347
QC-CR548679
גָבוֹהַ נקסוס 5 13 במרץ 2014
CVE-2014-9780 A-28602014
QC-CR542222
גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6P 13 במרץ 2014
CVE-2014-9789 A-28749392
QC-CR556425
גָבוֹהַ נקסוס 5 13 במרץ 2014
CVE-2014-9793 A-28821253
QC-CR580567
גָבוֹהַ Nexus 7 (2013) 13 במרץ 2014
CVE-2014-9782 A-28431531
QC-CR511349
גָבוֹהַ Nexus 5, Nexus 7 (2013) 31 במרץ 2014
CVE-2014-9783 A-28441831
QC-CR511382 [ 2 ]
גָבוֹהַ Nexus 7 (2013) 31 במרץ 2014
CVE-2014-9785 A-28469042
QC-CR545747
גָבוֹהַ Nexus 7 (2013) 31 במרץ 2014
CVE-2014-9787 A-28571496
QC-CR545764
גָבוֹהַ Nexus 7 (2013) 31 במרץ 2014
CVE-2014-9784 A-28442449
QC-CR585147
גָבוֹהַ Nexus 5, Nexus 7 (2013) 30 באפריל, 2014
CVE-2014-9777 A-28598501
QC-CR563654
גָבוֹהַ Nexus 5, Nexus 7 (2013) 30 באפריל, 2014
CVE-2014-9778 A-28598515
QC-CR563694
גָבוֹהַ Nexus 5, Nexus 7 (2013) 30 באפריל, 2014
CVE-2014-9790 A-28769136
QC-CR545716 [ 2 ]
גָבוֹהַ Nexus 5, Nexus 7 (2013) 30 באפריל, 2014
CVE-2014-9792 A-28769399
QC-CR550606
גָבוֹהַ נקסוס 5 30 באפריל, 2014
CVE-2014-9797 A-28821090
QC-CR674071
גָבוֹהַ נקסוס 5 3 ביולי 2014
CVE-2014-9791 A-28803396
QC-CR659364
גָבוֹהַ Nexus 7 (2013) 29 באוגוסט 2014
CVE-2014-9796 A-28820722
QC-CR684756
גָבוֹהַ Nexus 5, Nexus 7 (2013) 30 בספטמבר 2014
CVE-2014-9800 A-28822150
QC-CR692478
גָבוֹהַ Nexus 5, Nexus 7 (2013) 31 באוקטובר 2014
CVE-2014-9799 A-28821731
QC-CR691916
גָבוֹהַ Nexus 5, Nexus 7 (2013) 31 באוקטובר 2014
CVE-2014-9801 A-28822060
QC-CR705078
גָבוֹהַ נקסוס 5 28 בנובמבר 2014
CVE-2014-9802 A-28821965
QC-CR705108
גָבוֹהַ Nexus 5, Nexus 7 (2013) 31 בדצמבר 2014
CVE-2015-8891 A-28842418
QC-CR813930
גָבוֹהַ Nexus 5, Nexus 7 (2013) 29 במאי 2015
CVE-2015-8888 A-28822465
QC-CR813933
גָבוֹהַ נקסוס 5 30 ביוני 2015
CVE-2015-8889 A-28822677
QC-CR804067
גָבוֹהַ Nexus 6P 30 ביוני 2015
CVE-2015-8890 A-28822878
QC-CR823461
גָבוֹהַ Nexus 5, Nexus 7 (2013) 19 באוגוסט 2015

* דירוג החומרה עבור בעיות אלה מסופק ישירות על ידי קוואלקום.

הפגיעות של העלאת הרשאות במנהל התקן USB של Qualcomm

הפגיעות של העלאת הרשאות במנהל התקן USB של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2502 A-27657963 QC-CR997044 גָבוֹהַ Nexus 5X, Nexus 6P 11 במרץ 2016

הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3792 A-27725204 QC-CR561022 גָבוֹהַ Nexus 7 (2013) 17 במרץ 2016

הפגיעות של העלאת הרשאות במנהל ההתקן של המצלמה של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2501 A-27890772* QC-CR1001092 גָבוֹהַ Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 27 במרץ 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3793 A-28026625*
N-CVE20163793
גָבוֹהַ Nexus 9 5 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות ב-MediaTek Power Driver

העלאת הרשאות במנהל ההתקן של MediaTek יכולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3795 A-28085222*
M-ALPS02677244
גָבוֹהַ Android One 7 באפריל, 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244
גָבוֹהַ Android One 7 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3797 A-28085680* QC-CR1001450 גָבוֹהַ Nexus 5X 7 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של חיישני החומרה של MediaTek

הפגיעות של העלאת הרשאות במנהל ההתקן של חיישני החומרה של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3798 A-28174490*
M-ALPS02703105
גָבוֹהַ Android One 11 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3799 A-28175025*
M-ALPS02693738
גָבוֹהַ Android One 11 באפריל, 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
גָבוֹהַ Android One 11 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek GPS

הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek GPS עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3801 A-28174914*
M-ALPS02688853
גָבוֹהַ Android One 11 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במערכת קבצי הליבה

הפגיעות של העלאת הרשאות במערכת קבצי הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3802 A-28271368* גָבוֹהַ Nexus 9 19 באפריל, 2016
CVE-2016-3803 A-28588434* גָבוֹהַ Nexus 5X, Nexus 6P 4 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן לניהול צריכת חשמל של MediaTek

העלאת הרשאות במנהל ההתקן של MediaTek לניהול צריכת החשמל יכולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3804 A-28332766*
M-ALPS02694410
גָבוֹהַ Android One 20 באפריל, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
גָבוֹהַ Android One 21 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן תצוגה של MediaTek

הפגיעות של העלאת הרשאות במנהל התקן התצוגה של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3806 A-28402341*
M-ALPS02715341
גָבוֹהַ Android One 26 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של ממשק היקפי טורי

הפגיעות של העלאת הרשאות במנהל ההתקן של ממשק היקפי טורי עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3807 A-28402196* גָבוֹהַ Nexus 5X, Nexus 6P 26 באפריל, 2016
CVE-2016-3808 A-28430009* גָבוֹהַ Pixel C 26 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm

הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2068 A-28470967 QC-CR1006609 גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 28 באפריל, 2016

הפגיעות של העלאת הרשאות בקרנל

הפגיעות של העלאת הרשאות בקרנל עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2014-9803 A-28557020
גרעין במעלה הזרם
גָבוֹהַ Nexus 5X, Nexus 6P Google פנימי

פגיעות של חשיפת מידע ברכיב רשת

פגיעות של חשיפת מידע ברכיב הרשת עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3809 A-27532522* גָבוֹהַ הכל Nexus 5 במרץ 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע במנהל ההתקן של MediaTek Wi-Fi

פגיעות של חשיפת מידע במנהל ההתקן של MediaTek Wi-Fi עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3810 A-28175522*
M-ALPS02694389
גָבוֹהַ Android One 12 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן וידאו ליבה

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3811 A-28447556* לְמַתֵן Nexus 9 Google פנימי

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע במנהל התקן ה-Codec וידאו של MediaTek

פגיעות של חשיפת מידע במנהל ההתקן של MediaTek Video Codec עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3812 A-28174833*
M-ALPS02688832
לְמַתֵן Android One 11 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע במנהל התקן USB של Qualcomm

פגיעות של חשיפת מידע במנהל התקן ה-USB של Qualcomm עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3813 A-28172322* QC-CR1010222 לְמַתֵן Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 11 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע במנהל התקן של מצלמת NVIDIA

פגיעות של חשיפת מידע במנהל ההתקן של מצלמת NVIDIA עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3814 A-28193342*
N-CVE20163814
לְמַתֵן Nexus 9 14 באפריל, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
לְמַתֵן Nexus 9 1 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע במנהל התקן התצוגה של MediaTek

פגיעות של חשיפת מידע במנהל התקן התצוגה של MediaTek עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3816 A-28402240* לְמַתֵן Android One 26 באפריל, 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע במנהל התקן טלטייפ של ליבה

פגיעות של חשיפת מידע במנהל ההתקן של טלטייפ עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-0723 A-28409131
גרעין במעלה הזרם
לְמַתֵן Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 26 באפריל, 2016

פגיעות מניעת שירות במטען האתחול של קוואלקום

פגיעות של מניעת שירות במטען האתחול של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגרום לפגיעה במכשיר קבוע מקומי, מה שעלול לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2014-9798 A-28821448 QC-CR681965 לְמַתֵן נקסוס 5 31 באוקטובר 2014
CVE-2015-8893 A-28822690 QC-CR822275 לְמַתֵן Nexus 5, Nexus 7 (2013) 19 באוגוסט 2015

שאלות ותשובות נפוצות

סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

רמות תיקון האבטחה של 2016-07-01 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-7-01. רמות תיקון האבטחה של 2016-07-05 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-07-05. עיין במרכז העזרה לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-07-01] או [ro.build.version.security_patch]:[2016-07-05].

2. מדוע בעלון זה כולל שתי מחרוזות ברמת תיקון אבטחה?

עלון זה כולל שתי מחרוזות ברמת תיקון אבטחה על מנת לספק לשותפים של אנדרואיד את הגמישות לנוע מהר יותר כדי לתקן קבוצת משנה של פגיעויות הדומות בכל מכשירי האנדרואיד. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש במחרוזת העדכנית ביותר של תיקון האבטחה.

מכשירים המשתמשים ברמת תיקון האבטחה של 5 ביולי 2016 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעלוני אבטחה זה (וקודמים).

מכשירים המשתמשים ברמת תיקון האבטחה של 1 ביולי 2016 חייבים לכלול את כל הבעיות הקשורות לרמת תיקון האבטחה הזו, כמו גם תיקונים עבור כל הבעיות שדווחו בעלוני אבטחה קודמים. מכשירים המשתמשים ברמת תיקון האבטחה של 1 ביולי 2016 עשויים לכלול גם קבוצת משנה של תיקונים המשויכים לרמת תיקון האבטחה של 5 ביולי 2016.

3. כיצד אוכל לקבוע אילו מכשירי Nexus מושפעים מכל בעיה?

בקטעי פרטי פגיעות אבטחה של 2016-07-01 ו -2016-07-05 , לכל טבלה יש עמודת מכשירי Nexus מעודכנים המכסה את מגוון מכשירי ה-Nexus המושפעים המעודכנים עבור כל בעיה. בעמודה זו יש כמה אפשרויות:

  • כל מכשירי ה-Nexus : אם בעיה משפיעה על כל מכשירי ה-Nexus, הטבלה תכלול "כל מכשירי ה-Nexus" בעמודה מכשירי ה-Nexus המעודכנים . "All Nexus" מכיל בתוכו את המכשירים הנתמכים הבאים: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ו-Pixel C.
  • מכשירי Nexus מסוימים : אם בעיה לא משפיעה על כל מכשירי ה-Nexus, מכשירי ה-Nexus המושפעים רשומים בעמודה מכשירי Nexus מעודכנים .
  • אין מכשירי Nexus : אם אף מכשירי Nexus לא מושפעים מהבעיה, הטבלה תכלול "ללא" בעמודה מכשירי Nexus מעודכנים .

4. למה מפות הערכים בעמודת הפניות?

ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה. הקידומות הללו ממפות באופן הבא:

קידומת התייחסות
א- מזהה באג אנדרואיד
QC- מספר סימוכין של קוואלקום
M- מספר סימוכין של MediaTek
נ- מספר סימוכין של NVIDIA

תיקונים

  • 06 ביולי 2016: פרסום עלון.
  • 7 ביולי 2016:
    • נוספו קישורי AOSP.
    • הוסר CVE-2016-3794 מכיוון שהוא עותק של CVE-2016-3814
    • ייחוס נוסף עבור CVE-2016-2501 ו-CVE-2016-2502
  • 11 ביולי 2016: ייחוס מעודכן עבור CVE-2016-3750
  • 14 ביולי 2016: ייחוס מעודכן עבור CVE-2016-2503
  • 1 באפריל 2019: קישורי תיקון מעודכנים עבור CVE-2016-3818