Biuletyn dotyczący bezpieczeństwa Androida — sierpień 2016 r

Opublikowano 01 sierpnia 2016 | Zaktualizowano 21 października 2016 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem opublikowaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Poziomy poprawek zabezpieczeń z 5 sierpnia 2016 r. lub nowszych rozwiązują te problemy. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06 lipca 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia usług Android i Google.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • Biuletyn poprawiony w celu poprawienia CVE-2016-3856 do CVE-2016-2060.
  • Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze usuwanie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
    • 2016-08-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2016-08-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
    • 2016-08-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2016-08-01 i 2016-08-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
  • Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 sierpnia 2016 r.

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

Chcielibyśmy podziękować Danielowi Micayowi z Copperhead Security, Jeffowi Vanderowi Stoepowi i Yabinowi Cui z Google za ich wkład w aktualizacje na poziomie platformy w celu ograniczenia klasy luk w zabezpieczeniach, takich jak CVE-2016-3843. To ograniczenie opiera się na pracy Brada Spenglera z Grsecurity.

Poziom poprawki zabezpieczeń 2016-08-01 — szczegóły luk w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-08-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserverze

Luka w zabezpieczeniach programu Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.

Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3819 A-28533562 Krytyczny Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 maja 2016 r
CVE-2016-3820 A-28673410 Krytyczny Cały Nexus 6.0, 6.0.1 6 maja 2016 r
CVE-2016-3821 A-28166152 Krytyczny Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w libjhead

Luka w bibliotece libjhead umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacjach korzystających z tej biblioteki.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3822 A-28868315 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach serwera multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3823 A-28815329 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 maja 2016 r
CVE-2016-3824 A-28816827 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 maja 2016 r
CVE-2016-3825 A-28816964 Wysoki Cały Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 17 maja 2016 r
CVE-2016-3826 A-29251553 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 czerwca 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3827 A-28816956 Wysoki Cały Nexus 6.0.1 16 maja 2016 r
CVE-2016-3828 A-28835995 Wysoki Cały Nexus 6.0, 6.0.1 17 maja 2016 r
CVE-2016-3829 A-29023649 Wysoki Cały Nexus 6.0, 6.0.1 27 maja 2016 r
CVE-2016-3830 A-29153599 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach zegara systemowego umożliwiająca odmowę usługi

Luka w zegarze systemowym umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu awarię urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3831 A-29083635 Wysoki Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 31 maja 2016 r

Zwiększenie luki w zabezpieczeniach w interfejsach API platformy

Luka w zabezpieczeniach interfejsów API platformy umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do danych wykraczających poza poziomy uprawnień aplikacji.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3832 A-28795098 Umiarkowany Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 maja 2016 r

Zwiększenie luki w zabezpieczeniach powłoki w zakresie uprawnień

Podniesienie uprawnień w powłoce może umożliwić lokalnej złośliwej aplikacji ominięcie ograniczeń urządzenia, takich jak ograniczenia użytkownika. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście uprawnień użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3833 A-29189712 [ 2 ] Umiarkowany Cały Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka umożliwiająca ujawnienie informacji w OpenSSL

Luka w zabezpieczeniach OpenSSL umożliwiająca ujawnienie informacji może pozwolić lokalnej złośliwej aplikacji na dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2842 A-29060514 Nic* Cały Nexus 4.4.4, 5.0.2, 5.1.1 29 marca 2016 r

* Ta luka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje

Luka umożliwiająca ujawnienie informacji w interfejsach API aparatu

Luka w interfejsach API kamery umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do struktur danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3834 A-28466701 Umiarkowany Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 kwietnia 2016 r

Luka umożliwiająca ujawnienie informacji w Mediaserverze

Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może pozwolić lokalnej złośliwej aplikacji na dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3835 A-28920116 Umiarkowany Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 maja 2016 r

Luka umożliwiająca ujawnienie informacji w SurfaceFlinger

Luka w usłudze SurfaceFlinger umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3836 A-28592402 Umiarkowany Cały Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 4 maja 2016 r

Luka w zabezpieczeniach Wi-Fi umożliwiająca ujawnienie informacji

Luka w zabezpieczeniach sieci Wi-Fi umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę umiarkowaną, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3837 A-28164077 Umiarkowany Cały Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach typu „odmowa usługi” w interfejsie użytkownika systemu

Luka w zabezpieczeniach interfejsu systemowego umożliwiająca odmowę usługi może umożliwić lokalnej złośliwej aplikacji zapobieganie połączeniom pod numer 911 z zablokowanego ekranu. Ten problem został oceniony jako umiarkowany ze względu na możliwość odmowy usługi w przypadku funkcji krytycznej.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3838 A-28761672 Umiarkowany Cały Nexus 6.0, 6.0.1 Wewnętrzne Google

Luka w zabezpieczeniach typu „odmowa usługi” w Bluetooth

Luka w zabezpieczeniach Bluetooth umożliwiająca odmowę usługi może umożliwić lokalnej złośliwej aplikacji zapobieganie połączeniom pod numer 911 z urządzenia Bluetooth. Ten problem został oceniony jako umiarkowany ze względu na możliwość odmowy usługi w przypadku funkcji krytycznej.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3839 A-28885210 Umiarkowany Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Poziom poprawki zabezpieczeń z dnia 8.08.2016 r. — szczegóły dotyczące luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2016-08-05. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w sterowniku Qualcomm Wi-Fi

Luka w sterowniku Qualcomm Wi-Fi umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2014-9902 A-28668638

QC-CR#553937
QC-CR#553941

Krytyczny Nexus 7 (2013) 31 marca 2014 r

Luka w zabezpieczeniach Conscrypt umożliwiająca zdalne wykonanie kodu

Luka w zabezpieczeniach Conscrypt umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3840 A-28751153 Krytyczny Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach komponentów Qualcomm

Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm, potencjalnie obejmujące program ładujący, sterownik aparatu, napęd znaków, obsługę sieci, sterownik dźwięku i sterownik wideo.

Najpoważniejszy z tych problemów został oceniony jako krytyczny ze względu na możliwość wykonania przez lokalną złośliwą aplikację dowolnego kodu w kontekście jądra, co doprowadziłoby do trwałego naruszenia lokalnego bezpieczeństwa urządzenia, co może wymagać ponownego flashowania systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2014-9863 A-28768146

QC-CR#549470

Krytyczny Nexus 5, Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9864 A-28747998

QC-CR#561841

Wysoki Nexus 5, Nexus 7 (2013) 27 marca 2014
CVE-2014-9865 A-28748271

QC-CR#550013

Wysoki Nexus 5, Nexus 7 (2013) 27 marca 2014
CVE-2014-9866 A-28747684

QC-CR#511358

Wysoki Nexus 5, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9867 A-28749629

QC-CR#514702

Wysoki Nexus 5, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9868 A-28749721

QC-CR#511976

Wysoki Nexus 5, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9869 A-28749728

QC-CR#514711 [ 2 ]

Wysoki Nexus 5, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9870 A-28749743

QC-CR#561044

Wysoki Nexus 5, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9871 A-28749803

QC-CR#514717

Wysoki Nexus 5, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9872 A-28750155

QC-CR#590721

Wysoki Nexus 5 31 marca 2014 r
CVE-2014-9873 A-28750726

QC-CR#556860

Wysoki Nexus 5, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9874 A-28751152

QC-CR#563086

Wysoki Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9875 A-28767589

QC-CR#483310

Wysoki Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9876 A-28767796

QC-CR#483408

Wysoki Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9877 A-28768281

QC-CR#547231

Wysoki Nexus 5, Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9878 A-28769208

QC-CR#547479

Wysoki Nexus 5 30 kwietnia 2014 r
CVE-2014-9879 A-28769221

QC-CR#524490

Wysoki Nexus 5 30 kwietnia 2014 r
CVE-2014-9880 A-28769352

QC-CR#556356

Wysoki Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9881 A-28769368

QC-CR#539008

Wysoki Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9882 A-28769546

QC-CR#552329 [ 2 ]

Wysoki Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9883 A-28769912

QC-CR#565160

Wysoki Nexus 5, Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9884 A-28769920

QC-CR#580740

Wysoki Nexus 5, Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9885 A-28769959

QC-CR#562261

Wysoki Nexus 5 30 kwietnia 2014 r
CVE-2014-9886 A-28815575

QC-CR#555030

Wysoki Nexus 5, Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9887 A-28804057

QC-CR#636633

Wysoki Nexus 5, Nexus 7 (2013) 3 lipca 2014 r
CVE-2014-9888 A-28803642

QC-CR#642735

Wysoki Nexus 5, Nexus 7 (2013) 29 sierpnia 2014
CVE-2014-9889 A-28803645

QC-CR#674712

Wysoki Nexus 5 31 października 2014 r
CVE-2015-8937 A-28803962

QC-CR#770548

Wysoki Nexus 5, Nexus 6, Nexus 7 (2013) 31 marca 2015 r
CVE-2015-8938 A-28804030

QC-CR#766022

Wysoki Nexusa 6 31 marca 2015 r
CVE-2015-8939 A-28398884

QC-CR#779021

Wysoki Nexus 7 (2013) 30 kwietnia 2015 r
CVE-2015-8940 A-28813987

QC-CR#792367

Wysoki Nexusa 6 30 kwietnia 2015 r
CVE-2015-8941 A-28814502

QC-CR#792473

Wysoki Nexus 6, Nexus 7 (2013) 29 maja 2015 r
CVE-2015-8942 A-28814652

QC-CR#803246

Wysoki Nexusa 6 30 czerwca 2015 r
CVE-2015-8943 A-28815158

QC-CR#794217

QC-CR#836226

Wysoki Nexus 5 11 września 2015 r
CVE-2014-9891 A-28749283

QC-CR#550061

Umiarkowany Nexus 5 13 marca 2014
CVE-2014-9890 A-28770207

QC-CR#529177

Umiarkowany Nexus 5, Nexus 7 (2013) 2 czerwca 2014 r

Zwiększenie luki w zabezpieczeniach komponentu sieciowego jądra

Luka umożliwiająca podniesienie uprawnień w komponencie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2015-2686 A-28759139

Jądro nadrzędne

Krytyczny Cały Nexus 23 marca 2015 r
CVE-2016-3841 A-28746669

Jądro nadrzędne

Krytyczny Cały Nexus 3 grudnia 2015 r

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego Qualcomm

Luka w zabezpieczeniach sterownika procesora graficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2504 A-28026365

QC-CR#1002974

Krytyczny Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 5 kwietnia 2016 r
CVE-2016-3842 A-28377352

QC-CR#1002974

Krytyczny Nexusa 5X, Nexusa 6, Nexusa 6P 25 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach komponentu wydajności Qualcomm

Luka w zabezpieczeniach komponentu wydajności Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

Uwaga: w tym biuletynie pod numerem A-29119870 znajduje się również aktualizacja na poziomie platformy, której zadaniem jest ograniczenie tej klasy luk w zabezpieczeniach.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3843 A-28086229*

QC-CR#1011071

Krytyczny Nexusa 5X, Nexusa 6P 7 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach jądra polegającej na podniesieniu uprawnień

Luka w jądrze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3857 A-28522518* Krytyczny Nexus 7 (2013) 2 maja 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach systemu pamięci jądra

Luka w zabezpieczeniach systemu pamięci jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2015-1593 A-29577822

Jądro nadrzędne

Wysoki Gracz Nexusa 13 lutego 2015 r
CVE-2016-3672 A-28763575

Jądro nadrzędne

Wysoki Gracz Nexusa 25 marca 2016 r

Zwiększenie luki w zabezpieczeniach komponentu dźwiękowego jądra

Luka w zabezpieczeniach komponentu dźwiękowego jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-2544 A-28695438

Jądro nadrzędne

Wysoki Cały Nexus 19 stycznia 2016 r
CVE-2016-2546 A-28694392

Jądro nadrzędne

Wysoki Piksel C 19 stycznia 2016 r
CVE-2014-9904 A-28592007

Jądro nadrzędne

Wysoki Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player 4 maja 2016 r

Zwiększenie luki w zabezpieczeniach systemu plików jądra

Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2012-6701 A-28939037

Jądro nadrzędne

Wysoki Nexus 5, Nexus 7 (2013) 2 marca 2016 r

Zwiększenie luki w zabezpieczeniach serwera multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3844 A-28299517*

N-CVE-2016-3844

Wysoki Nexusa 9 i Pixela C 19 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika wideo jądra

Luka w sterowniku wideo jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3845 A-28399876* Wysoki Nexus 5 20 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku szeregowego interfejsu peryferyjnego

Luka w zabezpieczeniach sterownika szeregowego interfejsu peryferyjnego umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3846 A-28817378* Wysoki Nexusa 5X, Nexusa 6P 17 maja 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika multimedialnego NVIDIA

Luka w sterowniku multimediów NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3847 A-28871433*

N-CVE-2016-3847

Wysoki Nexusa 9 19 maja 2016 r
CVE-2016-3848 A-28919417*

N-CVE-2016-3848

Wysoki Nexusa 9 19 maja 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika ION

Luka w sterowniku ION umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3849 A-28939740 Wysoki Piksel C 24 maja 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach programu rozruchowego Qualcomm

Luka umożliwiająca podniesienie uprawnień w programie ładującym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3850 A-27917291

QC-CR#945164

Wysoki Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) 28 marca 2016 r

Zwiększenie luki w zabezpieczeniach podsystemu wydajności jądra

Podniesienie poziomu luk w zabezpieczeniach podsystemu wydajności jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki ze względu na powierzchnię ataku jądra dostępną dla osób atakujących.

Uwaga: jest to aktualizacja na poziomie platformy, której zadaniem jest ograniczenie luk w zabezpieczeniach, takich jak CVE-2016-3843 (A-28086229).

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3843 A-29119870* Wysoki Cały Nexus 6.0, 6.1 Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach programu rozruchowego LG Electronics

Luka w zabezpieczeniach programu ładującego LG Electronics umożliwiająca podniesienie uprawnień może umożliwić osobie atakującej wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3851 A-29189941* Wysoki Nexusa 5X Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm

Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm, potencjalnie obejmujące program ładujący, sterownik aparatu, sterownik postaci, obsługę sieci, sterownik dźwięku i sterownik wideo.

Najpoważniejszy z tych problemów ma ocenę Wysoki ze względu na możliwość, że lokalna złośliwa aplikacja może uzyskać dostęp do danych wykraczających poza jej poziom uprawnień, takich jak dane wrażliwe, bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2014-9892 A-28770164

QC-CR#568717

Wysoki Nexus 5, Nexus 7 (2013) 2 czerwca 2014 r
CVE-2015-8944 A-28814213

QC-CR#786116

Wysoki Nexus 6, Nexus 7 (2013) 30 kwietnia 2015 r
CVE-2014-9893 A-28747914

QC-CR#542223

Umiarkowany Nexus 5 27 marca 2014
CVE-2014-9894 A-28749708

QC-CR#545736

Umiarkowany Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9895 A-28750150

QC-CR#570757

Umiarkowany Nexus 5, Nexus 7 (2013) 31 marca 2014 r
CVE-2014-9896 A-28767593

QC-CR#551795

Umiarkowany Nexus 5, Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9897 A-28769856

QC-CR#563752

Umiarkowany Nexus 5 30 kwietnia 2014 r
CVE-2014-9898 A-28814690

QC-CR#554575

Umiarkowany Nexus 5, Nexus 7 (2013) 30 kwietnia 2014 r
CVE-2014-9899 A-28803909

QC-CR#547910

Umiarkowany Nexus 5 3 lipca 2014 r
CVE-2014-9900 A-28803952

QC-CR#570754

Umiarkowany Nexus 5, Nexus 7 (2013) 8 sierpnia 2014

Luka umożliwiająca ujawnienie informacji w harmonogramie jądra

Luka w programie planującym jądra umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2014-9903 A-28731691

Jądro nadrzędne

Wysoki Nexusa 5X, Nexusa 6P 21 lutego 2014 r

Luka w sterowniku MediaTek Wi-Fi umożliwiająca ujawnienie informacji (specyficzna dla urządzenia)

Luka w sterowniku MediaTek Wi-Fi umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3852 A-29141147*

M-ALPS02751738

Wysoki Android Jeden 12 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku USB

Luka w sterowniku USB umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-4482 A-28619695

Jądro nadrzędne

Wysoki Cały Nexus 3 maja 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w komponentach Qualcomm

Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm, w tym potencjalnie sterownik Wi-Fi.

Najpoważniejszy z tych problemów został oceniony jako Wysoki ze względu na możliwość spowodowania przez osobę atakującą tymczasowej zdalnej odmowy usługi skutkującej zawieszeniem lub ponownym uruchomieniem urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2014-9901 A-28670333

QC-CR#548711

Wysoki Nexus 7 (2013) 31 marca 2014 r

Zwiększenie luki w zabezpieczeniach usług Google Play

Luka w zabezpieczeniach usług Google Play umożliwiająca podniesienie uprawnień może pozwolić lokalnemu atakującemu na ominięcie zabezpieczenia przywracania ustawień fabrycznych i uzyskanie dostępu do urządzenia. Jest to oceniane jako umiarkowane ze względu na możliwość ominięcia zabezpieczenia przywracania ustawień fabrycznych, co może doprowadzić do pomyślnego zresetowania urządzenia i usunięcia wszystkich jego danych.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-3853 A-26803208* Umiarkowany Cały Nexus Nic 4 maja 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach interfejsów API platformy Framework

Luka w zabezpieczeniach API platformy umożliwiająca podniesienie uprawnień może umożliwić preinstalowanej aplikacji zwiększenie priorytetu filtra intencji podczas aktualizacji aplikacji bez powiadamiania użytkownika. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do zwiększenia możliwości bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2497 A-27450489 Umiarkowany Cały Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Wewnętrzne Google

Luka umożliwiająca ujawnienie informacji w komponencie sieciowym jądra

Luka w komponencie sieciowym jądra umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-4486 A-28620102

Jądro nadrzędne

Umiarkowany Cały Nexus 3 maja 2016 r

Luka umożliwiająca ujawnienie informacji w komponencie dźwiękowym jądra

Luka w komponencie dźwięku jądra umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-4569 A-28980557

Jądro nadrzędne

Umiarkowany Cały Nexus 9 maja 2016 r
CVE-2016-4578 A-28980217

Jądro nadrzędne [ 2 ]

Umiarkowany Cały Nexus 11 maja 2016 r

Luki w komponentach Qualcomm

Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm, potencjalnie obejmujące program ładujący, sterownik aparatu, sterownik postaci, obsługę sieci, sterownik dźwięku i sterownik wideo.

CVE Bibliografia Powaga Zaktualizowano urządzenia Nexus Data zgłoszona
CVE-2016-3854 QC-CR#897326 Wysoki Nic luty 2016
CVE-2016-3855 QC-CR#990824 Wysoki Nic Maj 2016
CVE-2016-2060 QC-CR#959631 Umiarkowany Nic Kwiecień 2016

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy łatki bezpieczeństwa 2016-08-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem łańcucha zabezpieczeń 2016-08-01. Poziomy łatki bezpieczeństwa 2016-08-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem łańcucha zabezpieczeń 2016-08-05. Instrukcje sprawdzania poziomu łatki bezpieczeństwa można znaleźć w centrum pomocy . Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom łańcucha plamy na: [ro.build.version.security_patch]: [2016-08-01] lub [ro.build.version.security_patch]: [2016-08-05].

2. Dlaczego ten biuletyn ma dwa ciągi na poziomie łatki bezpieczeństwa?

Ten biuletyn ma dwa struny na poziomie bezpieczeństwa, aby zapewnić partnerom z Androidem elastyczność szybszego poruszania się w celu ustalenia podzbioru luk, które są podobne na wszystkich urządzeniach z Androidem. Partnerzy z Androidem są zachęcani do rozwiązania wszystkich problemów w tym biuletynie i korzystania z najnowszego ciągu łatek bezpieczeństwa.

Urządzenia wykorzystujące poziom łatki bezpieczeństwa z 5 sierpnia 2016 r. Lub Nowsze muszą zawierać wszystkie odpowiednie łatki w tym (i poprzednich) biuletynach bezpieczeństwa.

Urządzenia korzystające z poziomu łatki bezpieczeństwa 1 sierpnia 2016 r. Muszą zawierać wszystkie problemy związane z tym poziomem łatki bezpieczeństwa, a także poprawki dla wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa. Urządzenia korzystające z 1 sierpnia 2016 r. Poziom łatki bezpieczeństwa mogą również zawierać podzbiór poprawek związanych z poziomem łatki bezpieczeństwa 5 sierpnia 2016 r.

3 . Jak ustalić, na które urządzenia Nexus ma wpływ na każdy problem?

W sekcjach podatności zabezpieczeń 2016-08-01 i 2016-08-05 w każdej tabeli ma zaktualizowaną kolumnę Nexus Devices, która obejmuje zakres dotychczasowych urządzeń Nexus zaktualizowanych dla każdego wydania. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Nexus : Jeśli problem wpływa na wszystkie urządzenia Nexus, tabela będzie miała „wszystkie Nexus” w zaktualizowanej kolumnie Nexus Devices . „All Nexus” zawiera następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player i Pixel C.
  • Niektóre urządzenia Nexus : jeśli problem nie wpływa na wszystkie urządzenia Nexus, dotknięte urządzenia Nexus są wymienione w zaktualizowanej kolumnie Nexus Devices .
  • Brak urządzeń Nexus : jeśli problem nie wpłynie na urządzenia Nexus, tabela będzie miała „Brak” w zaktualizowanej kolumnie Nexus Devices .

4. Na co wpisy w kolumnie referencyjnej mapują?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiks mapy w następujący sposób:

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA

Wersje

  • 01 sierpnia 2016: Opublikowano Biuletyn.
  • 02 sierpnia 2016: Biuletyn zmienił się w celu zawierania linków AOSP.
  • 16 sierpnia 2016 r.: CVE-2016-3856 poprawiony do CVE-2016-2060 i zaktualizował adres URL odniesienia.
  • 21 października 2016 r.: Poprawione literówka w CVE-2016-4486.