Biuletyn bezpieczeństwa Androida — lipiec 2016 r.

Opublikowano 06 lipca 2016 | Zaktualizowano 1 kwietnia 2019 r.

Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń urządzeń Nexus za pośrednictwem aktualizacji OTA (over-the-air). Obrazy oprogramowania sprzętowego Nexusa zostały również udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 5 lipca 2016 r. lub nowsze dotyczą wszystkich mających zastosowanie problemów zawartych w tym biuletynie. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06.06.2016 lub wcześniej. W stosownych przypadkach poprawki kodu źródłowego dla tych problemów zostały udostępnione w repozytorium Android Open Source Project (AOSP). Biuletyn ten zawiera również łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która podczas przetwarzania plików multimedialnych może umożliwić zdalne wykonanie kodu na zaatakowanym urządzeniu za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS. Ocena dotkliwości opiera się na możliwym wpływie wykorzystania tej luki na urządzenie, którego dotyczy, przy założeniu, że platforma i ograniczenia związane z usługami są wyłączone w celach programistycznych lub pomyślnie ominięte.

Nie mieliśmy żadnych doniesień o aktywnym wykorzystywaniu lub nadużywaniu przez klientów tych nowo zgłoszonych problemów. Zapoznaj się z sekcją Ograniczenia ryzyka w usługach Android i Google, aby uzyskać szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • W niniejszym biuletynie zdefiniowano dwa łańcuchy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk, które są podobne na wszystkich urządzeniach z systemem Android. Zobacz Często zadawane pytania i odpowiedzi, aby uzyskać dodatkowe informacje:
    • 2016-07-01 : Częściowy ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 01.07.2016 zostały rozwiązane.
    • 2016-07-05 : Kompletny ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2016-07-01 i 2016-07-05 zostały rozwiązane.
  • Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 lipca 2016 r.

Ograniczenia w usługach Androida i Google

To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystywanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
  • Zespół Android Security aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet , które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach . Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Weryfikacja aplikacji ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd ona pochodzi. Ponadto Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w eskalacji uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa przeglądarki Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • Adam Donenfeld i in. firmy Check Point Software Technologies Ltd.: CVE-2016-2503
  • Adam Powell z Google: CVE-2016-3752
  • Alex Chapman i Paul Stone z kontekstu Bezpieczeństwo informacji: CVE-2016-3763
  • Andy Tyler ( @ticarpi ) z e2e- assure : CVE-2016-2457
  • Ben Hawkes z Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • Christopher Tate z Google: CVE-2016-3759
  • Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • Greg Kaiser z zespołu Google Android: CVE-2016-3758
  • Guang Gong (龚广) ( @oldfresher ) z zespołu Mobile Safe, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
  • Hao Qin z Security Research Lab, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
  • Jianqiang Zhao ( @jianqiangzhao ) i pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
  • Marco Nelissen z Google: CVE-2016-3818
  • Oznacz markę Google Project Zero: CVE-2016-3757
  • Michał Bednarski : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang i Yang Ssong z Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • Peter Pi ( @heisecode ) z Trend Micro: CVE-2016-3793
  • Ricky Wai z Google: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • Wasilij Wasilew: CVE-2016-2507
  • Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
  • Wen Niu ( @NWMonster ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
  • Xiling Gong Departamentu Platformy Bezpieczeństwa Tencent: CVE-2016-3745
  • Yacong Gu z TCA Lab, Institute of Software, Chińska Akademia Nauk: CVE-2016-3761
  • Yongke Wang ( @Rudykewang ) z Xuanwu LAB, Tencent: CVE-2016-2505
  • Yongke Wang ( @Rudykewang ) i Wei Wei ( @Danny__Wei ) z Xuanwu LAB, Tencent: CVE-2016-2506
  • Yulong Zhang i Tao (Lenx) Wei z Baidu X-Lab: CVE-2016-3744

2016-07-01 poziom poprawki zabezpieczeń — szczegóły dotyczące luk w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek z dnia 2016-07-01. Istnieje opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka umożliwiająca zdalne wykonanie kodu w Mediaserver

Luka umożliwiająca zdalne wykonanie kodu w serwerze Mediaserver może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku do uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie miałyby dostępu aplikacje innych firm.

Zakłócona funkcja jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności MMS i odtwarzanie multimediów w przeglądarce.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2506 A-28175045 Krytyczny Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 kwi 2016
CVE-2016-2505 A-28333006 Krytyczny Wszystkie Nexusy 6.0, 6.0.1 21 kwi 2016
CVE-2016-2507 A-28532266 Krytyczny Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 maja 2016
CVE-2016-2508 A-28799341 [ 2 ] Krytyczny Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 maja 2016
CVE-2016-3741 A-28165661 [ 2 ] Krytyczny Wszystkie Nexusy 6.0, 6.0.1 Google wewnętrzne
CVE-2016-3742 A-28165659 Krytyczny Wszystkie Nexusy 6.0, 6.0.1 Google wewnętrzne
CVE-2016-3743 A-27907656 Krytyczny Wszystkie Nexusy 6.0, 6.0.1 Google wewnętrzne

Luka umożliwiająca zdalne wykonanie kodu w OpenSSL i BoringSSL

Luka umożliwiająca zdalne wykonanie kodu w OpenSSL i BoringSSL może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku do uszkodzenia pamięci podczas przetwarzania plików i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu, którego dotyczy problem.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2108 A-28175332 Krytyczny Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 maja 2016

Luka umożliwiająca zdalne wykonanie kodu w Bluetooth

Luka umożliwiająca zdalne wykonanie kodu w technologii Bluetooth może umożliwić atakującemu wykonanie dowolnego kodu podczas procesu parowania. Ten problem został oceniony jako Wysoki ze względu na możliwość zdalnego wykonania kodu podczas inicjalizacji urządzenia Bluetooth.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3744 A-27930580 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30 marca 2016 r.

Podniesienie poziomu luki w uprawnieniach w libpng

Luka umożliwiająca podniesienie uprawnień w bibliotece libpng może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem został oceniony jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych możliwości, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3751 A-23265085 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 grudnia 2015 r.

Podwyższenie luki uprawnień w Mediaserver

Luka umożliwiająca podniesienie uprawnień w serwerze Mediaserver może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem został oceniony jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych możliwości, takich jak uprawnienia podpisu lub podpisu lub systemu, które nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3745 A-28173666 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 kwi 2016
CVE-2016-3746 A-27890802 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 marca 2016 r.
CVE-2016-3747 A-27903498 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 marca 2016

Podniesienie poziomu podatności na przywileje w gniazdach

Luka umożliwiająca podniesienie uprawnień w gniazdach może umożliwić lokalnej złośliwej aplikacji dostęp do wywołań systemowych poza jej poziomem uprawnień. Ten problem został oceniony jako wysoki, ponieważ może pozwolić na obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3748 A-28171804 Wysoki Wszystkie Nexusy 6.0, 6.0.1 13 kwi 2016

Podwyższenie luki uprawnień w LockSettingsService

Luka umożliwiająca podniesienie uprawnień w usłudze LockSettingsService może umożliwić złośliwej aplikacji zresetowanie hasła blokady ekranu bez autoryzacji ze strony użytkownika. Ten problem został oceniony jako wysoki, ponieważ jest to lokalne obejście wymagań dotyczących interakcji użytkownika w przypadku wszelkich modyfikacji ustawień programisty lub zabezpieczeń.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3749 A-28163930 Wysoki Wszystkie Nexusy 6.0, 6.0.1 Google wewnętrzne

Podniesienie poziomu podatności uprawnień w interfejsach API Framework

Luka umożliwiająca podniesienie uprawnień w interfejsach API Parcels Framework może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem został oceniony jako wysoki, ponieważ może być wykorzystany do uzyskania dostępu do danych, do których aplikacja nie ma dostępu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3750 A-28395952 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 grudnia 2015 r.

Podwyższenie podatności uprawnień w usłudze ChooserTarget

Luka umożliwiająca podniesienie uprawnień w usłudze ChooserTarget może umożliwić lokalnej złośliwej aplikacji wykonanie kodu w kontekście innej aplikacji. Ten problem ma wysoką ocenę, ponieważ może być używany do uzyskiwania dostępu do działań należących do innej aplikacji bez pozwolenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3752 A-28384423 Wysoki Wszystkie Nexusy 6.0, 6.0.1 Google wewnętrzne

Luka umożliwiająca ujawnienie informacji w Mediaserver

Luka umożliwiająca ujawnienie informacji w serwerze Mediaserver może umożliwić zdalnemu atakującemu dostęp do chronionych danych, do których zwykle mają dostęp tylko lokalnie zainstalowane aplikacje, które proszą o pozwolenie. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3753 A-27210135 Wysoki Nic* 4.4.4 15 lut 2016

* Ta usterka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje.

Luka umożliwiająca ujawnienie informacji w OpenSSL

Luka umożliwiająca ujawnienie informacji w OpenSSL może umożliwić zdalnemu napastnikowi dostęp do chronionych danych, do których zwykle mają dostęp tylko lokalnie zainstalowane aplikacje, które proszą o pozwolenie. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-2107 A-28550804 Wysoki Nic* 4.4.4, 5.0.2, 5.1.1 13 kwietnia 2016

* Ta usterka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje.

Luka w zabezpieczeniach typu „odmowa usługi” w Mediaserver

Luka w zabezpieczeniach serwera Mediaserver typu „odmowa usługi” może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3754 A-28615448 [ 2 ] Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 maja 2016 r.
CVE-2016-3755 A-28470138 Wysoki Wszystkie Nexusy 6.0, 6.0.1 29 kwi 2016
CVE-2016-3756 A-28556125 Wysoki Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google wewnętrzne

Luka w zabezpieczeniach typu „odmowa usługi” w libc

Luka w zabezpieczeniach typu „odmowa usługi” w bibliotece libc może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3818 A-28740702 [ 2 ] Wysoki Nic* 4.4.4 Google wewnętrzne

* Ta usterka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje.

Podwyższenie podatności uprawnień w lsof

Luka umożliwiająca podniesienie uprawnień w lsof może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu, który może doprowadzić do trwałego złamania zabezpieczeń urządzenia. Ten problem jest oceniany jako Umiarkowany, ponieważ wymaga nietypowych czynności ręcznych.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3757 A-28175237 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 kwi 2016

Podwyższona luka uprawnień w DexClassLoader

Luka umożliwiająca podniesienie uprawnień w DexClassLoader może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako Umiarkowany, ponieważ wymaga nietypowych czynności ręcznych.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3758 A-27840771 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google wewnętrzne

Podniesienie poziomu podatności uprawnień w interfejsach API Framework

Luka umożliwiająca podniesienie uprawnień w interfejsach API platformy może umożliwić lokalnej złośliwej aplikacji żądanie uprawnień do tworzenia kopii zapasowych i przechwycenie wszystkich danych kopii zapasowej. Ten problem jest oceniany jako Umiarkowany, ponieważ wymaga określonych uprawnień, aby ominąć zabezpieczenia systemu operacyjnego, które izolują dane aplikacji od innych aplikacji.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3759 A-28406080 Umiarkowany Wszystkie Nexusy 5.0.2, 5.1.1, 6.0, 6.0.1 Google wewnętrzne

Podwyższenie podatności uprawnień w Bluetooth

Luka umożliwiająca podniesienie uprawnień w składniku Bluetooth może umożliwić atakującemu lokalnie dodanie uwierzytelnionego urządzenia Bluetooth, które będzie działać dla głównego użytkownika. Ten problem jest oceniany jako Umiarkowany, ponieważ można go wykorzystać do zwiększenia możliwości bez wyraźnej zgody użytkownika.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3760 A-27410683 [ 2 ] [ 3 ] Umiarkowany Wszystkie Nexusy 5.0.2, 5.1.1, 6.0, 6.0.1 29 lut 2016

Podwyższenie podatności uprawnień w NFC

Luka umożliwiająca podniesienie uprawnień w komunikacji NFC może umożliwić lokalnej złośliwej aplikacji działającej w tle dostęp do informacji z aplikacji działającej na pierwszym planie. Ten problem jest oceniany jako Umiarkowany, ponieważ można go wykorzystać do zwiększenia możliwości bez wyraźnej zgody użytkownika.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3761 A-2830969 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20 kwi 2016

Podniesienie poziomu podatności na przywileje w gniazdach

Luka umożliwiająca podniesienie uprawnień w gniazdach może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do pewnych nietypowych typów gniazd, co może prowadzić do wykonania dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako Umiarkowany, ponieważ może pozwolić na obejście stosowanych środków bezpieczeństwa w celu zwiększenia trudności atakujących wykorzystujących platformę.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3762 A-28612709 Umiarkowany Wszystkie Nexusy 5.0.2, 5.1.1, 6.0, 6.0.1 21 kwi 2016

Luka umożliwiająca ujawnienie informacji w Proxy Auto-Config

Luka umożliwiająca ujawnienie informacji w komponencie Proxy Auto-Config może umożliwić aplikacji dostęp do poufnych informacji. Ten problem ma ocenę Umiarkowany, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3763 A-27593919 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 marca 2016 r.

Luka umożliwiająca ujawnienie informacji w Mediaserver

Luka umożliwiająca ujawnienie informacji w Mediaserver może umożliwić lokalnej złośliwej aplikacji dostęp do poufnych informacji. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do danych bez pozwolenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3764 A-28377502 Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 kwi 2016
CVE-2016-3765 A-28168413 Umiarkowany Wszystkie Nexusy 6.0, 6.0.1 8 kwi 2016

Luka w zabezpieczeniach typu „odmowa usługi” w Mediaserver

Luka w zabezpieczeniach serwera Mediaserver typu „odmowa usługi” może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem jest oceniany jako Umiarkowany ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszenia
CVE-2016-3766 A-28471206 [ 2 ] Umiarkowany Wszystkie Nexusy 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 kwi 2016

2016-07-05 poziom poprawki zabezpieczeń — szczegóły dotyczące luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie do poziomu poprawki 2016-07-05. Istnieje opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Nexus, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.

Podniesienie poziomu uprawnień w sterowniku GPU Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku procesora graficznego Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania się na urządzenie, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2503 A-28084795* QC-CR1006067 Krytyczny Nexus 5X, Nexus 6P 5 kwi 2016
CVE-2016-2067 A-28305757 QC-CR988993 Krytyczny Nexus 5X, Nexus 6, Nexus 6P 20 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku MediaTek Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sterowniku MediaTek Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania się na urządzenie, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3767 A-28169363*
M-ALPS02689526
Krytyczny Android Jeden 6 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w komponencie wydajności Qualcomm

Luka umożliwiająca podniesienie uprawnień w składniku wydajności Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownego zainstalowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3768 A-28172137* QC-CR1010644 Krytyczny Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podatność na podniesienie uprawnień w sterowniku wideo NVIDIA

Luka umożliwiająca podniesienie uprawnień w sterowniku wideo NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania się na urządzenie, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3769 A-28376656*
N-CVE20163769
Krytyczny Nexus 9 18 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu uprawnień w sterownikach MediaTek (specyficzne dla urządzenia)

Luka umożliwiająca podniesienie uprawnień w wielu sterownikach MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania się na urządzenie, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3770 A-28346752*
M-ALPS02703102
Krytyczny Android Jeden 22 kwi 2016
CVE-2016-3771 A-29007611*
M-ALPS02703102
Krytyczny Android Jeden 22 kwi 2016
CVE-2016-3772 A-29008188*
M-ALPS02703102
Krytyczny Android Jeden 22 kwi 2016
CVE-2016-3773 A-29008363*
M-ALPS02703102
Krytyczny Android Jeden 22 kwi 2016
CVE-2016-3774 A-29008609*
M-ALPS02703102
Krytyczny Android Jeden 22 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w systemie plików jądra

Luka umożliwiająca podniesienie uprawnień w systemie plików jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania się na urządzenie, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3775 A-28588279* Krytyczny Nexus 5X, Nexus 6, Nexus 6P i Nexus Player, Pixel C 4 maja 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku USB

Luka umożliwiająca podniesienie uprawnień w sterowniku USB może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownego zainstalowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2015-8816 A-28712303* Krytyczny Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 4 maja 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w komponentach Qualcomm

Poniższa tabela zawiera luki w zabezpieczeniach dotyczące komponentów Qualcomm, w tym bootloadera, sterownika aparatu, sterownika postaci, sieci, sterownika dźwięku i sterownika wideo.

Najpoważniejszy z tych problemów jest oceniany jako krytyczny ze względu na możliwość wykonania dowolnego kodu prowadzącego do możliwości lokalnego trwałego naruszenia bezpieczeństwa urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Surowość* Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2014-9795 A-28820720
QC-CR681957 [ 2 ]
Krytyczny Nexus 5 8 sierpnia 2014
CVE-2014-9794 A-28821172
QC-CR646385
Krytyczny Nexus 7 (2013) 8 sierpnia 2014
CVE-2015-8892 A-28822807
QC-CR902998
Krytyczny Nexus 5X, Nexus 6P 30 grudnia 2015 r.
CVE-2014-9781 A-28410333
QC-CR556471
Wysoki Nexus 7 (2013) 6 lut 2014
CVE-2014-9786 A-28557260
QC-CR545979
Wysoki Nexus 5, Nexus 7 (2013) 13 marca 2014 r.
CVE-2014-9788 A-28573112
QC-CR548872
Wysoki Nexus 5 13 marca 2014 r.
CVE-2014-9779 A-28598347
QC-CR548679
Wysoki Nexus 5 13 marca 2014 r.
CVE-2014-9780 A-28602014
QC-CR542222
Wysoki Nexus 5, Nexus 5X, Nexus 6P 13 marca 2014 r.
CVE-2014-9789 A-28749392
QC-CR556425
Wysoki Nexus 5 13 marca 2014 r.
CVE-2014-9793 A-28821253
QC-CR580567
Wysoki Nexus 7 (2013) 13 marca 2014 r.
CVE-2014-9782 A-28431531
QC-CR511349
Wysoki Nexus 5, Nexus 7 (2013) 31 marca 2014 r.
CVE-2014-9783 A-28441831
QC-CR511382 [ 2 ]
Wysoki Nexus 7 (2013) 31 marca 2014 r.
CVE-2014-9785 A-28469042
QC-CR545747
Wysoki Nexus 7 (2013) 31 marca 2014 r.
CVE-2014-9787 A-28571496
QC-CR545764
Wysoki Nexus 7 (2013) 31 marca 2014 r.
CVE-2014-9784 A-28442449
QC-CR585147
Wysoki Nexus 5, Nexus 7 (2013) 30 kwi 2014
CVE-2014-9777 A-28598501
QC-CR563654
Wysoki Nexus 5, Nexus 7 (2013) 30 kwi 2014
CVE-2014-9778 A-28598515
QC-CR563694
Wysoki Nexus 5, Nexus 7 (2013) 30 kwi 2014
CVE-2014-9790 A-28769136
QC-CR545716 [ 2 ]
Wysoki Nexus 5, Nexus 7 (2013) 30 kwi 2014
CVE-2014-9792 A-28769399
QC-CR550606
Wysoki Nexus 5 30 kwi 2014
CVE-2014-9797 A-28821090
QC-CR674071
Wysoki Nexus 5 3 lip 2014
CVE-2014-9791 A-28803396
QC-CR659364
Wysoki Nexus 7 (2013) 29 sierpnia 2014
CVE-2014-9796 A-28820722
QC-CR684756
Wysoki Nexus 5, Nexus 7 (2013) 30 września 2014 r.
CVE-2014-9800 A-28822150
QC-CR692478
Wysoki Nexus 5, Nexus 7 (2013) 31 paź 2014
CVE-2014-9799 A-28821731
QC-CR691916
Wysoki Nexus 5, Nexus 7 (2013) 31 paź 2014
CVE-2014-9801 A-28822060
QC-CR705078
Wysoki Nexus 5 28 listopada 2014
CVE-2014-9802 A-28821965
QC-CR705108
Wysoki Nexus 5, Nexus 7 (2013) 31 grudnia 2014 r.
CVE-2015-8891 A-28842418
QC-CR813930
Wysoki Nexus 5, Nexus 7 (2013) 29 maja 2015 r.
CVE-2015-8888 A-28822465
QC-CR813933
Wysoki Nexus 5 30 czerwca 2015 r.
CVE-2015-8889 A-28822677
QC-CR804067
Wysoki Nexus 6P 30 czerwca 2015 r.
CVE-2015-8890 A-28822878
QC-CR823461
Wysoki Nexus 5, Nexus 7 (2013) 19 sierpnia 2015 r.

* Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

Podwyższona luka uprawnień w sterowniku USB Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku USB Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2502 A-27657963 QC-CR997044 Wysoki Nexus 5X, Nexus 6P 11 marca 2016 r.

Podwyższona luka uprawnień w sterowniku Qualcomm Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3792 A-27725204 QC-CR561022 Wysoki Nexus 7 (2013) 17 marca 2016 r.

Podwyższona luka uprawnień w sterowniku aparatu Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku aparatu Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2501 A-27890772* QC-CR1001092 Wysoki Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 27 marca 2016 r.

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu uprawnień w sterowniku kamery NVIDIA

Luka umożliwiająca podniesienie uprawnień w sterowniku kamery NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3793 A-28026625*
N-CVE20163793
Wysoki Nexus 9 5 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku zasilania MediaTek

Podniesienie uprawnień w sterowniku zasilania MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3795 A-28085222*
M-ALPS02677244
Wysoki Android Jeden 7 kwi 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244
Wysoki Android Jeden 7 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku Qualcomm Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sterowniku Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3797 A-28085680* QC-CR1001450 Wysoki Nexus 5X 7 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku czujnika sprzętowego MediaTek

Luka umożliwiająca podniesienie uprawnień w sterowniku czujnika sprzętowego MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3798 A-28174490*
M-ALPS02703105
Wysoki Android Jeden 11 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu uprawnień w sterowniku wideo MediaTek

Luka umożliwiająca podniesienie uprawnień w sterowniku wideo MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3799 A-28175025*
M-ALPS02693738
Wysoki Android Jeden 11 kwi 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
Wysoki Android Jeden 11 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku MediaTek GPS

Luka umożliwiająca podniesienie uprawnień w sterowniku MediaTek GPS może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3801 A-28174914*
M-ALPS02688853
Wysoki Android Jeden 11 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w systemie plików jądra

Luka umożliwiająca podniesienie uprawnień w systemie plików jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3802 A-28271368* Wysoki Nexus 9 19 kwi 2016
CVE-2016-3803 A-28588434* Wysoki Nexus 5X, Nexus 6P 4 maja 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu uprawnień w sterowniku zarządzania energią MediaTek

Podniesienie uprawnień w sterowniku zarządzania energią MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3804 A-28332766*
M-ALPS02694410
Wysoki Android Jeden 20 kwi 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
Wysoki Android Jeden 21 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku ekranu MediaTek

Luka umożliwiająca podniesienie uprawnień w sterowniku ekranu MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3806 A-28402341*
M-ALPS02715341
Wysoki Android Jeden 26 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podniesienie poziomu podatności uprawnień w sterowniku szeregowego interfejsu peryferyjnego

Luka umożliwiająca podniesienie uprawnień w sterowniku szeregowego interfejsu peryferyjnego może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3807 A-28402196* Wysoki Nexus 5X, Nexus 6P 26 kwi 2016
CVE-2016-3808 A-28430009* Wysoki Piksel C 26 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku dźwięku Qualcomm

Luka umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-2068 A-28470967 QC-CR1006609 Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 28 kwi 2016

Podwyższona luka uprawnień w jądrze

Luka umożliwiająca podniesienie uprawnień w jądrze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2014-9803 A-28557020
Jądro nadrzędne
Wysoki Nexus 5X, Nexus 6P Google wewnętrzne

Podatność na ujawnienie informacji w komponencie sieciowym

Luka umożliwiająca ujawnienie informacji w komponencie sieciowym może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3809 A-27532522* Wysoki Wszystkie Nexusy 5 marca 2016 r.

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku MediaTek Wi-Fi

Luka umożliwiająca ujawnienie informacji w sterowniku MediaTek Wi-Fi może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3810 A-28175522*
M-ALPS02694389
Wysoki Android Jeden 12 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Podwyższona luka uprawnień w sterowniku wideo jądra

Luka umożliwiająca podniesienie uprawnień w sterowniku wideo jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3811 A-28447556* Umiarkowany Nexus 9 Google wewnętrzne

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku kodeka wideo MediaTek

Luka umożliwiająca ujawnienie informacji w sterowniku kodeka wideo MediaTek może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3812 A-28174833*
M-ALPS02688832
Umiarkowany Android Jeden 11 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku USB Qualcomm

Luka umożliwiająca ujawnienie informacji w sterowniku Qualcomm USB może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3813 A-28172322* QC-CR1010222 Umiarkowany Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 11 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku kamery NVIDIA

Luka umożliwiająca ujawnienie informacji w sterowniku kamery NVIDIA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3814 A-28193342*
N-CVE20163814
Umiarkowany Nexus 9 14 kwi 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
Umiarkowany Nexus 9 1 maja 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku ekranu MediaTek

Luka umożliwiająca ujawnienie informacji w sterowniku ekranu MediaTek może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-3816 A-28402240* Umiarkowany Android Jeden 26 kwi 2016

* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku teletype jądra

Luka umożliwiająca ujawnienie informacji w sterowniku dalekopisu może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2016-0723 A-28409131
Jądro nadrzędne
Umiarkowany Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 26 kwi 2016

Luka typu „odmowa usługi” w bootloaderze Qualcomm

Luka w zabezpieczeniach typu „odmowa usługi” w programie rozruchowym Qualcomm może umożliwić lokalnej złośliwej aplikacji spowodowanie lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Surowość Zaktualizowane urządzenia Nexus Data zgłoszenia
CVE-2014-9798 A-28821448 QC-CR681965 Umiarkowany Nexus 5 31 paź 2014
CVE-2015-8893 A-2882690 QC-CR822275 Umiarkowany Nexus 5, Nexus 7 (2013) 19 sierpnia 2015 r.

Często zadawane pytania i odpowiedzi

Ta sekcja zawiera odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z 01.07.2016 lub nowsze dotyczą wszystkich problemów związanych z poziomem ciągu poprawek zabezpieczeń 01.07.2016. Poziomy poprawek zabezpieczeń z 05.07.2016 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawek zabezpieczeń 05.07.2016. Zapoznaj się z centrum pomocy, aby uzyskać instrukcje dotyczące sprawdzania poziomu poprawki zabezpieczeń. Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na: [ro.build.version.security_patch]:[01-07.2016] lub [ro.build.version.security_patch]:[05.07.2016].

2. Dlaczego ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń?

Ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów Androida do rozwiązywania wszystkich problemów w tym biuletynie i korzystania z najnowszego ciągu poziomów poprawek zabezpieczeń.

Urządzenia korzystające z poziomu poprawek zabezpieczeń z 5 lipca 2016 r. lub nowszego muszą zawierać wszystkie odpowiednie poprawki w tym (i poprzednich) biuletynach zabezpieczeń.

Urządzenia korzystające z poziomu poprawek zabezpieczeń z 1 lipca 2016 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawek zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń. Urządzenia korzystające z poziomu poprawek zabezpieczeń z 1 lipca 2016 r. mogą również zawierać podzbiór poprawek skojarzonych z poziomem poprawek zabezpieczeń z 5 lipca 2016 r.

3. Jak określić, których urządzeń Nexus dotyczy każdy problem?

W sekcjach szczegółów luki w zabezpieczeniach 01.07.2016 i 05.07.2016 każda tabela zawiera kolumnę Zaktualizowane urządzenia Nexus, która obejmuje zakres urządzeń Nexus, których dotyczy problem, zaktualizowanych dla każdego problemu. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Nexus : jeśli problem dotyczy wszystkich urządzeń Nexus, tabela będzie zawierać „Wszystkie Nexusy” w kolumnie Zaktualizowane urządzenia Nexus . „Wszystkie Nexusy” obejmują następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player i Pixel C.
  • Niektóre urządzenia Nexus : jeśli problem nie dotyczy wszystkich urządzeń Nexus, urządzenia Nexus, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Nexus .
  • Brak urządzeń Nexus : jeśli problem nie dotyczy żadnych urządzeń Nexus, w tabeli w kolumnie Zaktualizowane urządzenia Nexus będzie widoczny komunikat „Brak”.

4. Do czego odwzorowują się wpisy w kolumnie Referencje?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. Te przedrostki są mapowane w następujący sposób:

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomm
M- Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA

Rewizje

  • 06 lipca 2016: Biuletyn opublikowany.
  • 07 lipca 2016:
    • Dodano łącza AOSP.
    • Usunięto CVE-2016-3794, ponieważ jest to duplikat CVE-2016-3814
    • Dodano przypisanie dla CVE-2016-2501 i CVE-2016-2502
  • 11 lipca 2016 r.: zaktualizowana atrybucja dla CVE-2016-3750
  • 14 lipca 2016 r.: Zaktualizowano przypisanie do CVE-2016-2503
  • 1 kwietnia 2019: Zaktualizowano linki do poprawek dla CVE-2016-3818