Google berkomitmen untuk mendorong terwujudnya keadilan ras bagi komunitas Kulit Hitam. Lihat caranya.

Buletin Keamanan Android—Juli 2016

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Diterbitkan 06 Juli 2016 | Diperbarui 1 April 2019

Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersamaan dengan buletin, kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA). Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Tingkat patch keamanan 05 Juli 2016 atau lebih baru mengatasi semua masalah yang berlaku dalam buletin ini. Lihat dokumentasi untuk mempelajari cara memeriksa tingkat patch keamanan.

Mitra diberi tahu tentang masalah yang dijelaskan dalam buletin pada 06 Juni 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP). Buletin ini juga menyertakan tautan ke patch di luar AOSP.

Yang paling parah dari masalah ini adalah kerentanan keamanan Kritis yang dapat mengaktifkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui beberapa metode seperti email, penelusuran web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada efek eksploitasi kerentanan yang mungkin terjadi pada perangkat yang terpengaruh, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.

Kami tidak memiliki laporan eksploitasi pelanggan aktif atau penyalahgunaan masalah yang baru dilaporkan ini. Lihat bagian mitigasi layanan Android dan Google untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.

Kami mendorong semua pelanggan untuk menerima pembaruan ini ke perangkat mereka.

Pengumuman

  • Buletin ini mendefinisikan dua string tingkat patch keamanan untuk memberikan fleksibilitas kepada mitra Android untuk bergerak lebih cepat guna memperbaiki subset kerentanan yang serupa di semua perangkat Android. Lihat Pertanyaan dan jawaban umum untuk informasi tambahan:
    • 07-01-2016 : String tingkat patch keamanan parsial. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-07-2016 telah diatasi.
    • 07-05-2016 : Lengkapi string tingkat patch keamanan. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-07-2016 dan 07-05-2016 telah diatasi.
  • Perangkat Nexus yang didukung akan menerima pembaruan OTA tunggal dengan tingkat patch keamanan 05 Juli 2016.

Mitigasi layanan Android dan Google

Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.

  • Eksploitasi untuk banyak masalah di Android menjadi lebih sulit dengan peningkatan versi platform Android yang lebih baru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
  • Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet , yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Berbahaya . Verifikasi Aplikasi diaktifkan secara default pada perangkat dengan Layanan Seluler Google , dan sangat penting bagi pengguna yang memasang aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verify Apps memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—dari mana pun asalnya. Selain itu, Verifikasi Aplikasi berupaya mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
  • Jika sesuai, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti Mediaserver.

ucapan terima kasih

Kami ingin mengucapkan terima kasih kepada para peneliti ini atas kontribusi mereka:

  • Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • Adam Donenfeld dkk. dari Check Point Software Technologies Ltd.: CVE-2016-2503
  • Adam Powell dari Google: CVE-2016-3752
  • Alex Chapman dan Paul Stone dari Keamanan Informasi Konteks: CVE-2016-3763
  • Andy Tyler ( @ticarpi ) dari e2e-assure : CVE-2016-2457
  • Ben Hawkes dari Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • Christopher Tate dari Google: CVE-2016-3759
  • Di Shen ( @returnsme ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • Greg Kaiser dari Tim Google Android: CVE-2016-3758
  • Guang Gong (龚广) ( @oldfresher ) dari Mobile Safe Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • Hao Chen dan Guang Gong dari Tim Alpha, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
  • Hao Qin dari Lab Riset Keamanan, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
  • Jianqiang Zhao ( @jianqiangzhao ) dan pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
  • Marco Nelissen dari Google: CVE-2016-3818
  • Tandai Merek Google Project Zero: CVE-2016-3757
  • Michał Bednarski : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang, dan Yang Ssong dari Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • Peter Pi ( @heisecode ) dari Trend Micro: CVE-2016-3793
  • Ricky Wai dari Google: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • Vasily Vasilev: CVE-2016-2507
  • Weichao Sun ( @sunblate ) dari Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
  • Wen Niu ( @NWMonster ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
  • Xiling Gong dari Departemen Platform Keamanan Tencent: CVE-2016-3745
  • Yacong Gu dari TCA Lab, Institute of Software, Chinese Academy of Sciences: CVE-2016-3761
  • Yongke Wang ( @Rudykewang ) dari Xuanwu LAB, Tencent: CVE-2016-2505
  • Yongke Wang ( @Rudykewang ) dan Wei Wei ( @Danny__Wei ) dari Xuanwu LAB, Tencent: CVE-2016-2506
  • Yulong Zhang dan Tao (Lenx) Wei dari Baidu X-Lab: CVE-2016-3744

07-01-01 tingkat patch keamanan—Detail kerentanan keamanan

Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk level patch 07-01-01. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Saat beberapa perubahan terkait dengan satu bug, referensi tambahan ditautkan ke nomor yang mengikuti ID bug.

Kerentanan eksekusi kode jarak jauh di Mediaserver

Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama file media dan pemrosesan data. Masalah ini dinilai sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver. Proses Mediaserver memiliki akses ke aliran audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.

Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan ada beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media browser.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2506 A-28175045 Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 April 2016
CVE-2016-2505 A-28333006 Kritis Semua Nexus 6.0, 6.0.1 21 April 2016
CVE-2016-2507 A-28532266 Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 Mei 2016
CVE-2016-2508 A-28799341 [ 2 ] Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 Mei 2016
CVE-2016-3741 A-28165661 [ 2 ] Kritis Semua Nexus 6.0, 6.0.1 internal Google
CVE-2016-3742 A-28165659 Kritis Semua Nexus 6.0, 6.0.1 internal Google
CVE-2016-3743 A-27907656 Kritis Semua Nexus 6.0, 6.0.1 internal Google

Kerentanan eksekusi kode jarak jauh di OpenSSL & BoringSSL

Kerentanan eksekusi kode jarak jauh di OpenSSL dan BoringSSL dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file dan data. Masalah ini dinilai sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses yang terpengaruh.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2108 A-28175332 Kritis Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 Mei 2016

Kerentanan eksekusi kode jarak jauh di Bluetooth

Kerentanan eksekusi kode jarak jauh di Bluetooth dapat memungkinkan penyerang proksimal mengeksekusi kode arbitrer selama proses pemasangan. Masalah ini dinilai sebagai Tinggi karena kemungkinan eksekusi kode jarak jauh selama inisialisasi perangkat Bluetooth.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3744 A-27930580 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30 Maret 2016

Peningkatan kerentanan hak istimewa di libpng

Peningkatan kerentanan hak istimewa di libpng dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3751 A-23265085 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 Desember 2015

Peningkatan kerentanan hak istimewa di Mediaserver

Peningkatan kerentanan hak istimewa di Mediaserver dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, seperti hak istimewa Signature atau SignatureOrSystem , yang tidak dapat diakses oleh aplikasi pihak ketiga.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3745 A-28173666 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 April 2016
CVE-2016-3746 A-27890802 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 Maret 2016
CVE-2016-3747 A-27903498 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Maret 2016

Peningkatan kerentanan hak istimewa di soket

Peningkatan kerentanan hak istimewa di soket dapat memungkinkan aplikasi jahat lokal untuk mengakses panggilan sistem di luar tingkat izinnya. Masalah ini dinilai sebagai Tinggi karena dapat mengizinkan tindakan keamanan yang di-bypass untuk meningkatkan kesulitan penyerang mengeksploitasi platform.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3748 A-28171804 Tinggi Semua Nexus 6.0, 6.0.1 13 April 2016

Peningkatan kerentanan hak istimewa di LockSettingsService

Peningkatan kerentanan hak istimewa di LockSettingsService dapat mengaktifkan aplikasi jahat untuk menyetel ulang kata sandi kunci layar tanpa izin dari pengguna. Masalah ini dinilai sebagai Tinggi karena merupakan pintasan lokal dari persyaratan interaksi pengguna untuk pengembang atau modifikasi pengaturan keamanan.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3749 A-28163930 Tinggi Semua Nexus 6.0, 6.0.1 internal Google

Peningkatan kerentanan hak istimewa di Framework API

Peningkatan kerentanan hak istimewa di Parcels Framework API dapat memungkinkan aplikasi berbahaya lokal untuk melewati perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses ke data yang tidak dapat diakses oleh aplikasi.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3750 A-28395952 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 Desember 2015

Peningkatan kerentanan hak istimewa di layanan ChooserTarget

Peningkatan kerentanan hak istimewa dalam layanan ChooserTarget dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode dalam konteks aplikasi lain. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses Aktivitas milik aplikasi lain tanpa izin.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3752 A-28384423 Tinggi Semua Nexus 6.0, 6.0.1 internal Google

Kerentanan pengungkapan informasi di Mediaserver

Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan penyerang jarak jauh untuk mengakses data yang dilindungi yang biasanya hanya dapat diakses oleh aplikasi yang diinstal secara lokal yang meminta izin. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data tanpa izin.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3753 A-27210135 Tinggi Tidak ada* 4.4.4 15 Februari 2016

* Perangkat Nexus yang didukung yang telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.

Kerentanan pengungkapan informasi di OpenSSL

Kerentanan pengungkapan informasi di OpenSSL dapat memungkinkan penyerang jarak jauh untuk mengakses data yang dilindungi yang biasanya hanya dapat diakses oleh aplikasi yang diinstal secara lokal yang meminta izin. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data tanpa izin.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-2107 A-28550804 Tinggi Tidak ada* 4.4.4, 5.0.2, 5.1.1 13 April 2016

* Perangkat Nexus yang didukung yang telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.

Kerentanan penolakan layanan di Mediaserver

Kerentanan penolakan layanan di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh sementara.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3754 A-28615448 [ 2 ] Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 Mei 2016
CVE-2016-3755 A-28470138 Tinggi Semua Nexus 6.0, 6.0.1 29 April 2016
CVE-2016-3756 A-28556125 Tinggi Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 internal Google

Penolakan kerentanan layanan di libc

Kerentanan penolakan layanan di libc dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3818 A-28740702 [ 2 ] Tinggi Tidak ada* 4.4.4 internal Google

* Perangkat Nexus yang didukung yang telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.

Peningkatan kerentanan hak istimewa di lsof

Peningkatan kerentanan hak istimewa di lsof dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer yang dapat menyebabkan kompromi perangkat permanen. Masalah ini dinilai sebagai Sedang karena memerlukan langkah manual yang tidak umum.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3757 A-28175237 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 April 2016

Peningkatan kerentanan hak istimewa di DexClassLoader

Peningkatan kerentanan hak istimewa di DexClassLoader dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks proses istimewa. Masalah ini dinilai sebagai Sedang karena memerlukan langkah manual yang tidak umum.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3758 A-27840771 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 internal Google

Peningkatan kerentanan hak istimewa di Framework API

Peningkatan kerentanan hak istimewa di Framework API dapat mengaktifkan aplikasi jahat lokal untuk meminta izin pencadangan dan mencegat semua data cadangan. Masalah ini dinilai sebagai Sedang karena memerlukan izin khusus untuk melewati perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3759 A-28406080 Sedang Semua Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 internal Google

Peningkatan kerentanan hak istimewa di Bluetooth

Peningkatan kerentanan hak istimewa dalam komponen Bluetooth dapat memungkinkan penyerang lokal untuk menambahkan perangkat Bluetooth yang diautentikasi yang tetap ada untuk pengguna utama. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan peningkatan kemampuan tanpa izin pengguna yang eksplisit.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3760 A-27410683 [ 2 ] [ 3 ] Sedang Semua Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 29 Februari 2016

Peningkatan kerentanan hak istimewa di NFC

Peningkatan kerentanan hak istimewa di NFC dapat mengaktifkan aplikasi latar belakang berbahaya lokal untuk mengakses informasi dari aplikasi latar depan. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan peningkatan kemampuan tanpa izin pengguna yang eksplisit.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3761 A-28300969 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20 April 2016

Peningkatan kerentanan hak istimewa di soket

Peningkatan kerentanan hak istimewa di soket dapat memungkinkan aplikasi jahat lokal untuk mendapatkan akses ke jenis soket tidak umum tertentu yang mungkin mengarah ke eksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Sedang karena dapat mengizinkan tindakan pengamanan untuk meningkatkan kesulitan penyerang mengeksploitasi platform.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3762 A-28612709 Sedang Semua Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 21 April 2016

Kerentanan pengungkapan informasi di Proxy Auto-Config

Kerentanan pengungkapan informasi dalam komponen Proxy Auto-Config dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data tanpa izin.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3763 A-27593919 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Maret 2016

Kerentanan pengungkapan informasi di Mediaserver

Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi jahat lokal mengakses informasi sensitif. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mengakses data tanpa izin.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3764 A-28377502 Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 April 2016
CVE-2016-3765 A-28168413 Sedang Semua Nexus 6.0, 6.0.1 8 April 2016

Penolakan kerentanan layanan di Mediaserver

Kerentanan penolakan layanan di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai sebagai Sedang karena kemungkinan penolakan layanan jarak jauh.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Versi AOSP yang diperbarui Tanggal dilaporkan
CVE-2016-3766 A-28471206 [ 2 ] Sedang Semua Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 April 2016

Tingkat patch keamanan 07-05 2016—Detail kerentanan

Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk level patch 07-05-2016. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Saat beberapa perubahan terkait dengan satu bug, referensi tambahan ditautkan ke nomor yang mengikuti ID bug.

Peningkatan kerentanan hak istimewa di driver Qualcomm GPU

Peningkatan kerentanan hak istimewa pada driver Qualcomm GPU dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2503 A-28084795* QC-CR1006067 Kritis Nexus 5X, Nexus 6P 5 April 2016
CVE-2016-2067 A-28305757 QC-CR988993 Kritis Nexus 5X, Nexus 6, Nexus 6P 20 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver Wi-Fi MediaTek

Peningkatan kerentanan hak istimewa di driver Wi-Fi MediaTek dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3767 A-28169363*
M-ALPS02689526
Kritis Android Satu 6 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa dalam komponen kinerja Qualcomm

Peningkatan kerentanan hak istimewa dalam komponen kinerja Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3768 A-28172137* QC-CR1010644 Kritis Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver video NVIDIA

Peningkatan kerentanan hak istimewa dalam driver video NVIDIA dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3769 A-28376656*
N-CVE20163769
Kritis Nexus 9 18 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver MediaTek (khusus perangkat)

Peningkatan kerentanan hak istimewa di beberapa driver MediaTek dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3770 A-28346752*
M-ALPS02703102
Kritis Android Satu 22 April 2016
CVE-2016-3771 A-29007611*
M-ALPS02703102
Kritis Android Satu 22 April 2016
CVE-2016-3772 A-29008188*
M-ALPS02703102
Kritis Android Satu 22 April 2016
CVE-2016-3773 A-29008363*
M-ALPS02703102
Kritis Android Satu 22 April 2016
CVE-2016-3774 A-29008609*
M-ALPS02703102
Kritis Android Satu 22 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa dalam sistem file kernel

Peningkatan kerentanan hak istimewa dalam sistem file kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3775 A-28588279* Kritis Nexus 5X, Nexus 6, Nexus 6P dan Nexus Player, Pixel C 4 Mei 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver USB

Peningkatan kerentanan hak istimewa pada driver USB dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2015-8816 A-28712303* Kritis Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 4 Mei 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa dalam komponen Qualcomm

Tabel di bawah ini berisi kerentanan keamanan yang memengaruhi komponen Qualcomm termasuk bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.

Yang paling parah dari masalah ini dinilai sebagai Kritis karena kemungkinan eksekusi kode arbitrer yang mengarah ke kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.

CV Referensi Kerasnya* Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2014-9795 A-28820720
QC-CR681957 [ 2 ]
Kritis Nexus 5 8 Agustus 2014
CVE-2014-9794 A-28821172
QC-CR646385
Kritis Nexus 7 (2013) 8 Agustus 2014
CVE-2015-8892 A-28822807
QC-CR902998
Kritis Nexus 5X, Nexus 6P 30 Desember 2015
CVE-2014-9781 A-28410333
QC-CR556471
Tinggi Nexus 7 (2013) 6 Februari 2014
CVE-2014-9786 A-28557260
QC-CR545979
Tinggi Nexus 5, Nexus 7 (2013) 13 Maret 2014
CVE-2014-9788 A-28573112
QC-CR548872
Tinggi Nexus 5 13 Maret 2014
CVE-2014-9779 A-28598347
QC-CR548679
Tinggi Nexus 5 13 Maret 2014
CVE-2014-9780 A-28602014
QC-CR542222
Tinggi Nexus 5, Nexus 5X, Nexus 6P 13 Maret 2014
CVE-2014-9789 A-28749392
QC-CR556425
Tinggi Nexus 5 13 Maret 2014
CVE-2014-9793 A-28821253
QC-CR580567
Tinggi Nexus 7 (2013) 13 Maret 2014
CVE-2014-9782 A-28431531
QC-CR511349
Tinggi Nexus 5, Nexus 7 (2013) 31 Maret 2014
CVE-2014-9783 A-28441831
QC-CR511382 [ 2 ]
Tinggi Nexus 7 (2013) 31 Maret 2014
CVE-2014-9785 A-28469042
QC-CR545747
Tinggi Nexus 7 (2013) 31 Maret 2014
CVE-2014-9787 A-28571496
QC-CR545764
Tinggi Nexus 7 (2013) 31 Maret 2014
CVE-2014-9784 A-28442449
QC-CR585147
Tinggi Nexus 5, Nexus 7 (2013) 30 April 2014
CVE-2014-9777 A-28598501
QC-CR563654
Tinggi Nexus 5, Nexus 7 (2013) 30 April 2014
CVE-2014-9778 A-28598515
QC-CR563694
Tinggi Nexus 5, Nexus 7 (2013) 30 April 2014
CVE-2014-9790 A-28769136
QC-CR545716 [ 2 ]
Tinggi Nexus 5, Nexus 7 (2013) 30 April 2014
CVE-2014-9792 A-28769399
QC-CR550606
Tinggi Nexus 5 30 April 2014
CVE-2014-9797 A-28821090
QC-CR674071
Tinggi Nexus 5 3 Juli 2014
CVE-2014-9791 A-28803396
QC-CR659364
Tinggi Nexus 7 (2013) 29 Agustus 2014
CVE-2014-9796 A-28820722
QC-CR684756
Tinggi Nexus 5, Nexus 7 (2013) 30 Sep 2014
CVE-2014-9800 A-28822150
QC-CR692478
Tinggi Nexus 5, Nexus 7 (2013) 31 Oktober 2014
CVE-2014-9799 A-28821731
QC-CR691916
Tinggi Nexus 5, Nexus 7 (2013) 31 Oktober 2014
CVE-2014-9801 A-28822060
QC-CR705078
Tinggi Nexus 5 28 November 2014
CVE-2014-9802 A-28821965
QC-CR705108
Tinggi Nexus 5, Nexus 7 (2013) 31 Desember 2014
CVE-2015-8891 A-28842418
QC-CR813930
Tinggi Nexus 5, Nexus 7 (2013) 29 Mei 2015
CVE-2015-8888 A-28822465
QC-CR813933
Tinggi Nexus 5 30 Juni 2015
CVE-2015-8889 A-28822677
QC-CR804067
Tinggi Nexus 6P 30 Juni 2015
CVE-2015-8890 A-28822878
QC-CR823461
Tinggi Nexus 5, Nexus 7 (2013) 19 Agustus 2015

* Peringkat keparahan untuk masalah ini disediakan langsung oleh Qualcomm.

Peningkatan kerentanan hak istimewa di driver Qualcomm USB

Peningkatan kerentanan hak istimewa pada driver Qualcomm USB dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2502 A-27657963 QC-CR997044 Tinggi Nexus 5X, Nexus 6P 11 Maret 2016

Peningkatan kerentanan hak istimewa di driver Qualcomm Wi-Fi

Peningkatan kerentanan hak istimewa pada driver Qualcomm Wi-Fi dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3792 A-27725204 QC-CR561022 Tinggi Nexus 7 (2013) 17 Maret 2016

Peningkatan kerentanan hak istimewa di driver kamera Qualcomm

Peningkatan kerentanan hak istimewa pada driver kamera Qualcomm dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-2501 A-27890772* QC-CR1001092 Tinggi Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 27 Maret 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver kamera NVIDIA

Peningkatan kerentanan hak istimewa pada driver kamera NVIDIA dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3793 A-28026625*
N-CVE20163793
Tinggi Nexus 9 5 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver daya MediaTek

Peningkatan hak istimewa di driver daya MediaTek dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3795 A-28085222*
M-ALPS02677244
Tinggi Android Satu 7 April 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244
Tinggi Android Satu 7 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver Qualcomm Wi-Fi

Peningkatan kerentanan hak istimewa pada driver Qualcomm Wi-Fi dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3797 A-28085680* QC-CR1001450 Tinggi Nexus 5X 7 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver sensor perangkat keras MediaTek

Peningkatan kerentanan hak istimewa di driver sensor perangkat keras MediaTek dapat mengaktifkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3798 A-28174490*
M-ALPS02703105
Tinggi Android Satu 11 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver video MediaTek

Peningkatan kerentanan hak istimewa dalam driver video MediaTek dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3799 A-28175025*
M-ALPS02693738
Tinggi Android Satu 11 April 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
Tinggi Android Satu 11 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa di driver GPS MediaTek

Peningkatan kerentanan hak istimewa di driver GPS MediaTek dapat mengaktifkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.

CV Referensi Kerasnya Perangkat Nexus yang diperbarui Tanggal dilaporkan
CVE-2016-3801 A-28174914*
M-ALPS02688853
Tinggi Android Satu 11 April 2016

* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

Peningkatan kerentanan hak istimewa dalam sistem file kernel

An elevation of privilege vulnerability in the kernel file system could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3802 A-28271368* Tinggi Nexus 9 Apr 19, 2016
CVE-2016-3803 A-28588434* Tinggi Nexus 5X, Nexus 6P May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power management driver

An elevation of privilege in the MediaTek power management driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3804 A-28332766*
M-ALPS02694410
Tinggi Android One Apr 20, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
Tinggi Android One Apr 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek display driver

An elevation of privilege vulnerability in the MediaTek display driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3806 A-28402341*
M-ALPS02715341
Tinggi Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in serial peripheral interface driver

An elevation of privilege vulnerability in the serial peripheral interface driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3807 A-28402196* Tinggi Nexus 5X, Nexus 6P Apr 26, 2016
CVE-2016-3808 A-28430009* Tinggi Pixel C Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm sound driver

An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High severity because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-2068 A-28470967 QC-CR1006609 Tinggi Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 28, 2016

Elevation of privilege vulnerability in kernel

An elevation of privilege vulnerability in the kernel could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2014-9803 A-28557020
Upstream kernel
Tinggi Nexus 5X, Nexus 6P Google internal

Information disclosure vulnerability in networking component

An information disclosure vulnerability in the networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3809 A-27532522* Tinggi All Nexus Mar 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek Wi-Fi driver

An information disclosure vulnerability in the MediaTek Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3810 A-28175522*
M-ALPS02694389
Tinggi Android One Apr 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel video driver

An elevation of privilege vulnerability in the kernel video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3811 A-28447556* Sedang Nexus 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3812 A-28174833*
M-ALPS02688832
Sedang Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3813 A-28172322* QC-CR1010222 Sedang Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the NVIDIA camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3814 A-28193342*
N-CVE20163814
Sedang Nexus 9 Apr 14, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
Sedang Nexus 9 May 1, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek display driver

An information disclosure vulnerability in the MediaTek display driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-3816 A-28402240* Sedang Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel teletype driver

An information disclosure vulnerability in the teletype driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2016-0723 A-28409131
Upstream kernel
Sedang Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C Apr 26, 2016

Denial of service vulnerability in Qualcomm bootloader

A denial of service vulnerability in the Qualcomm bootloader could enable a local malicious application to cause a local permanent device compromise, which may require reflashing the operating system to repair the device. This issue is rated as Moderate because it first requires compromising a privileged process.

CV Referensi Kerasnya Updated Nexus devices Date reported
CVE-2014-9798 A-28821448 QC-CR681965 Sedang Nexus 5 Oct 31, 2014
CVE-2015-8893 A-28822690 QC-CR822275 Sedang Nexus 5, Nexus 7 (2013) Aug 19, 2015

Pertanyaan dan jawaban umum

Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca buletin ini.

1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?

Security Patch Levels of 2016-07-01 or later address all issues associated with the 2016-7-01 security patch string level. Security Patch Levels of 2016-07-05 or later address all issues associated with the 2016-07-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-07-01] or [ro.build.version.security_patch]:[2016-07-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of July 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the July 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use July 1, 2016 security patch level may also include a subset of fixes associated with the July 5, 2016 security patch level.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-07-01 and 2016-07-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Entri di bawah kolom Referensi dari tabel detail kerentanan mungkin berisi awalan yang mengidentifikasi organisasi tempat nilai referensi berada. These prefixes map as follows:

Awalan Referensi
SEBUAH- ID bug Android
QC- Nomor referensi Qualcomm
M- Nomor referensi MediaTek
N- Nomor referensi NVIDIA

Revisions

  • July 06, 2016: Bulletin published.
  • July 07, 2016:
    • Added AOSP links.
    • Removed CVE-2016-3794 because it is a duplicate of CVE-2016-3814
    • Added attribution for CVE-2016-2501 and CVE-2016-2502
  • July 11, 2016: Updated attribution for CVE-2016-3750
  • July 14, 2016: Updated attribution for CVE-2016-2503
  • April 1, 2019: Updated patch links for CVE-2016-3818