Publicado em 04 de abril de 2016 | Atualizado em 19 de dezembro de 2016
Lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA) como parte do nosso processo de lançamento mensal do Boletim de Segurança do Android. As imagens do firmware do Nexus também foram divulgadas no site do Google Developers . Os níveis de patch de segurança de 2 de abril de 2016 ou posteriores resolvem esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança).
Os parceiros foram notificados sobre os problemas descritos no boletim em 16 de março de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).
O mais grave desses problemas é uma vulnerabilidade crítica de segurança que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação da gravidade baseia-se no efeito que a exploração da vulnerabilidade poderia ter num dispositivo afetado, assumindo que as mitigações da plataforma e do serviço estão desativadas para fins de desenvolvimento ou se forem contornadas com sucesso.
O Aviso de segurança do Android 18/03/2016 discutiu anteriormente o uso do CVE-2015-1805 por um aplicativo de root. CVE-2015-1805 foi resolvido nesta atualização. Não houve relatos de exploração ativa de clientes ou abuso de outros problemas recentemente relatados. Consulte a seção Mitigações para obter mais detalhes sobre as proteções da plataforma de segurança Android e proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android.
Mitigações
Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviços como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android é dificultada pelas melhorias nas versões mais recentes da plataforma Android. Encorajamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android está monitorando ativamente abusos com Verify Apps e SafetyNet, que alertará o usuário sobre aplicativos potencialmente prejudiciais detectados prestes a serem instalados. Ferramentas de root de dispositivos são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps está ativado por padrão e avisará os usuários sobre aplicativos com root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover tais aplicativos.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o mediaserver.
Reconhecimentos
A equipe de segurança do Android gostaria de agradecer a estes pesquisadores por suas contribuições:
- Abhishek Arya, Oliver Chang e Martin Barbella da equipe de segurança do Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) do CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger e Santos Cordon da equipe do Google Telecom: CVE-2016-0847
- Dominik Schürmann do Instituto de Sistemas Operacionais e Redes de Computadores , TU Braunschweig: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) do IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas da École Polytechnique Federale de Lausanne : CVE-2016-2426
- Guang Gong (龚广) ( @oldfresher ) da Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- James Forshaw do Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao ( @jianqiangzhao ), pjf e Gengjia Chen ( @ chengjia4574 ) do IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) e pjf do IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang da Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir : CVE-2016-2409
- Nico Golde ( @iamnion ) da Iniciativa de Segurança de Produtos da Qualcomm: CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) da Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé do MWR Labs : CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan da Segurança Android: CVE-2016-2424
- Weichao Sun ( @sunblate ) da Alibaba Inc.: CVE-2016-2414
- Wish Wu ( @wish_wu ) da Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee e Xiaofeng Wang da Universidade de Indiana em Bloomington, Tongxin Li e Xinhui Han da Universidade de Pequim: CVE-2016-0848
A equipe de segurança do Android também agradece a Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE e Zimperium por sua contribuição ao CVE-2015-1805.
Detalhes de vulnerabilidade de segurança
As seções abaixo contêm detalhes de cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 02/04/2016. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, versões afetadas e data relatada. Quando disponível, vincularemos o commit AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código em DHCPCD
Uma vulnerabilidade no serviço Dynamic Host Configuration Protocol pode permitir que um invasor cause corrupção de memória, o que pode levar à execução remota de código. Este problema é classificado como gravidade crítica devido à possibilidade de execução remota de código no contexto do cliente DHCP. O serviço DHCP tem acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Crítico | 4.4.4 | 30 de julho de 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Crítico | 4.4.4 | 30 de julho de 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 de janeiro de 2016 |
Vulnerabilidade de execução remota de código em codec de mídia
Durante o processamento de dados e arquivos de mídia de um arquivo especialmente criado, as vulnerabilidades em um codec de mídia usado pelo mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.
A funcionalidade afetada é fornecida como uma parte central do sistema operacional, e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Este problema é classificado como de gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Crítico | 6.0, 6.0.1 | 16 de dezembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de execução remota de código no Mediaserver
Durante o processamento de arquivos de mídia e de dados de um arquivo especialmente criado, as vulnerabilidades no mediaserver podem permitir que um invasor cause corrupção de memória e execução remota de código durante o processo do mediaserver.
A funcionalidade afetada é fornecida como uma parte central do sistema operacional, e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Este problema é classificado como de gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | Crítico | 6.0, 6.0.1 | 6 de dezembro de 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Crítico | 6.0, 6.0.1 | 19 de novembro de 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de fevereiro de 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0839 | ANDROID-25753245 | Crítico | 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0840 | ANDROID-26399350 | Crítico | 6.0, 6.0.1 | Interno do Google |
| CVE-2016-0841 | ANDROID-26040840 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de execução remota de código em libstagefright
Durante o arquivo de mídia e o processamento de dados de um arquivo especialmente criado, as vulnerabilidades no libstagefright podem permitir que um invasor cause corrupção de memória e execução remota de código como processo do servidor de mídia.
A funcionalidade afetada é fornecida como uma parte central do sistema operacional, e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.
Este problema é classificado como de gravidade Crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Crítico | 6.0, 6.0.1 | 23 de novembro de 2015 |
Vulnerabilidade de elevação de privilégio no kernel
Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo malicioso local execute código arbitrário dentro do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisará ser reparado atualizando novamente o sistema operacional. Esse problema foi descrito no Aviso de segurança do Android 18/03/2016 .
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de fevereiro de 2016 |
* O patch no AOSP está disponível para versões específicas do kernel: 3.14 , 3.10 e 3.4 .
Vulnerabilidade de elevação de privilégio no módulo de desempenho da Qualcomm
Uma vulnerabilidade de elevação de privilégio no componente gerenciador de eventos de desempenho para processadores ARM da Qualcomm poderia permitir que um aplicativo malicioso local executasse código arbitrário dentro do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisará ser reparado atualizando novamente o sistema operacional.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0843 | ANDRÓIDE-25801197* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de novembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no componente RF da Qualcomm
Há uma vulnerabilidade no driver Qualcomm RF que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo, e o dispositivo possivelmente precisará ser reparado atualizando novamente o sistema operacional.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | Crítico | 6.0, 6.0.1 | 25 de dezembro de 2015 |
*Um patch adicional para esse problema está localizado no upstream do Linux .
Vulnerabilidade de elevação de privilégio no kernel
Uma vulnerabilidade de elevação de privilégio no kernel comum poderia permitir que um aplicativo malicioso local executasse código arbitrário no kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de um comprometimento local permanente do dispositivo e o dispositivo possivelmente precisará ser reparado atualizando novamente o sistema operacional.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | Crítico | 6.0, 6.0.1 | 25 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio na interface nativa do IMemory
Uma vulnerabilidade de elevação de privilégio na interface nativa do IMemory pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégio no componente de telecomunicações
Uma vulnerabilidade de elevação de privilégio no componente Telecom poderia permitir que um invasor fizesse com que as chamadas parecessem vir de qualquer número arbitrário. Este problema é classificado como de gravidade alta porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de elevação de privilégio no gerenciador de download
Uma vulnerabilidade de elevação de privilégio no Download Manager pode permitir que um invasor obtenha acesso a arquivos não autorizados em armazenamento privado. Este problema é classificado como de gravidade alta porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio no procedimento de recuperação
Uma vulnerabilidade de elevação de privilégio no Procedimento de Recuperação poderia permitir que um aplicativo malicioso local executasse código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de fevereiro de 2016 |
Vulnerabilidade de elevação de privilégio em Bluetooth
Uma vulnerabilidade de elevação de privilégio no Bluetooth pode permitir que um dispositivo não confiável emparelhe com o telefone durante o processo inicial de emparelhamento. Isto pode levar ao acesso não autorizado aos recursos do dispositivo, como a ligação à Internet. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados que não são acessíveis a dispositivos não confiáveis.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégio no driver Haptic da Texas Instruments
Há uma vulnerabilidade de elevação de privilégio em um driver de kernel háptico da Texas Instruments que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2409 | ANDRÓIDE-25981545* | Alto | 6.0, 6.0.1 | 25 de dezembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no driver do kernel de vídeo Qualcomm
Há uma vulnerabilidade de elevação de privilégio em um driver de kernel de vídeo da Qualcomm que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, uma vulnerabilidade de execução de código do kernel seria classificada como Crítica, mas como exige primeiro o comprometimento de um serviço que pode chamar o driver, ela é classificada como de alta gravidade.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Alto | 6.0, 6.0.1 | 21 de dezembro de 2015 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio no componente Qualcomm Power Management
Há uma vulnerabilidade de elevação de privilégio em um driver de kernel do Qualcomm Power Management que pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como requer primeiro o comprometimento do dispositivo e a elevação para root, ele é classificado como de alta gravidade.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Alto | 6.0, 6.0.1 | 28 de janeiro de 2016 |
* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .
Vulnerabilidade de elevação de privilégio em System_server
Uma vulnerabilidade de elevação de privilégio em System_server poderia permitir que um aplicativo malicioso local executasse código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégio no Mediaserver
Uma vulnerabilidade de elevação de privilégio no mediaserver poderia permitir que um aplicativo malicioso local executasse código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de janeiro de 2016 |
Vulnerabilidade de negação de serviço no Minikin
Uma vulnerabilidade de negação de serviço na biblioteca Minikin pode permitir que um invasor local bloqueie temporariamente o acesso a um dispositivo afetado. Um invasor pode fazer com que uma fonte não confiável seja carregada e causar um estouro no componente Minikin, o que causa uma falha. Isso é classificado como de alta gravidade porque a negação de serviço levaria a um loop de reinicialização contínuo.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de novembro de 2015 |
Vulnerabilidade de divulgação de informações no Exchange ActiveSync
Uma vulnerabilidade de divulgação de informações no Exchange ActiveSync poderia permitir que um aplicativo malicioso local obtivesse acesso às informações privadas de um usuário. Este problema é classificado como de alta gravidade porque permite acesso remoto a dados protegidos.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de janeiro de 2016 |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver poderia permitir contornar as medidas de segurança em vigor para aumentar a dificuldade dos invasores explorarem a plataforma. Esses problemas são classificados como de alta gravidade porque também podem ser usados para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.
| CVE | Bugs com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de fevereiro de 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1º de fevereiro de 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Alto | 6.0, 6.0.1 | 24 de dezembro de 2015 |
| CVE-2016-2419 | ANDRÓIDE-26323455 | Alto | 6.0, 6.0.1 | 24 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio no componente Debuggerd
Uma vulnerabilidade de elevação de privilégio no componente Debuggerd poderia permitir que um aplicativo malicioso local executasse código arbitrário que poderia levar ao comprometimento permanente do dispositivo. Como resultado, o dispositivo possivelmente precisaria ser reparado atualizando novamente o sistema operacional. Normalmente, um bug de execução de código como esse seria classificado como Crítico, mas como permite uma elevação de privilégio do sistema para root apenas na versão 4.4.4 do Android, ele é classificado como Moderado. Nas versões 5.0 e superiores do Android, as regras do SELinux impedem que aplicativos de terceiros acessem o código afetado.
| CVE | Bug com links AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de janeiro de 2016 |
Vulnerabilidade de elevação de privilégio no assistente de configuração
Uma vulnerabilidade no Assistente de configuração pode permitir que um invasor ignore a proteção contra redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção contra redefinição de fábrica, o que permitiria a um invasor redefinir um dispositivo com êxito, apagando todos os dados.
| CVE | Erro | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2421 | ANDRÓIDE-26154410* | Moderado | 5.1.1, 6.0, 6.0.1 | Interno do Google |
* O patch para este problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus, disponível no site do Google Developers .
Vulnerabilidade de elevação de privilégio em Wi-Fi
Uma vulnerabilidade de elevação de privilégio em Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como gravidade moderada porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 de dezembro de 2015 |
Vulnerabilidade de elevação de privilégio em telefonia
Uma vulnerabilidade na telefonia pode permitir que um invasor ignore a proteção contra redefinição de fábrica e obtenha acesso ao dispositivo. Isso é classificado como gravidade moderada porque potencialmente permite que alguém com acesso físico a um dispositivo ignore a proteção contra redefinição de fábrica, o que permitiria a um invasor redefinir um dispositivo com êxito, apagando todos os dados.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de negação de serviço no SyncStorageEngine
Uma vulnerabilidade de negação de serviço no SyncStorageEngine pode permitir que um aplicativo malicioso local cause um loop de reinicialização. Esse problema é classificado como gravidade moderada porque pode ser usado para causar uma negação de serviço temporária local que possivelmente precisaria ser corrigida por meio de uma redefinição de fábrica.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno do Google |
Vulnerabilidade de divulgação de informações no correio AOSP
Uma vulnerabilidade de divulgação de informações no AOSP Mail poderia permitir que um aplicativo malicioso local obtivesse acesso às informações privadas de um usuário. Este problema é classificado como de gravidade moderada porque pode ser usado para obter permissões “perigosas” indevidamente.
| CVE | Bugs com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Moderado | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 de janeiro de 2016 |
| CVE-2016-2425 | ANDRÓIDE-7154234* | Moderado | 5.0.2 | 29 de janeiro de 2016 |
* O patch para este problema não está no AOSP. A atualização está contida na versão binária mais recente para dispositivos Nexus, disponível no site do Google Developers .
Vulnerabilidade de divulgação de informações na estrutura
Uma vulnerabilidade de divulgação de informações no componente Framework poderia permitir que um aplicativo acessasse informações confidenciais. Este problema é classificado como gravidade moderada porque pode ser usado para acessar dados indevidamente sem permissão.
| CVE | Bug com link AOSP | Gravidade | Versões atualizadas | Data relatada |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 de dezembro de 2015 |
Perguntas e respostas comuns
Esta seção analisa respostas a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Os níveis de patch de segurança de 2 de abril de 2016 ou posteriores resolvem esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança). Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string do patch como: [ro.build.version.security_patch]:[2016-04-02]
2. Por que este patch de segurança é de 2 de abril de 2016?
O nível do patch de segurança para a atualização de segurança mensal é normalmente definido para o primeiro dia do mês. Para abril, um nível de patch de segurança de 1º de abril de 2016 indica que todos os problemas descritos neste boletim, com exceção do CVE-2015-1805, conforme descrito no Aviso de segurança do Android 18/03/2016, foram resolvidos. Um nível de patch de segurança de 2 de abril de 2016 indica que todos os problemas descritos neste boletim, incluindo CVE-2015-1805, conforme descrito no Aviso de segurança do Android 18/03/2016, foram resolvidos.
Revisões
- 04 de abril de 2016: Boletim publicado.
- 06 de abril de 2016: Boletim revisado para incluir links AOSP.
- 07 de abril de 2016: Boletim revisado para incluir um link AOSP adicional.
- 11 de julho de 2016: Descrição atualizada do CVE-2016-2427.
- 01 de agosto de 2016: Descrição atualizada de CVE-2016-2427
- 19 de dezembro de 2016: Atualizado para remover CVE-2016-2427, que foi revertido.