Опубликовано 2 мая 2016 г. | Обновлено 4 мая 2016 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте Google Developers. Перечисленные проблемы устранены в исправлении от 1 мая 2016 года и более новых. Сведения о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus.
Мы сообщили партнерам об уязвимостях 4 апреля 2016 года или ранее. Когда возможно, исправления уязвимостей публикуются в хранилище Android Open Source Project (AOSP).
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затронутом устройстве во время обработки медиафайлов, например при просмотре сайтов в интернете и работе с электронной почтой и MMS. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации об активном использовании обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.
Мы рекомендуем всем пользователям установить указанное в бюллетене обновление.
Объявления
- Мы переименовали Бюллетень по безопасности Nexus в Бюллетень по безопасности Android. Теперь он содержит информацию об уязвимостях, которые встречаются на всех устройствах Android, а не только на устройствах Nexus.
- На основании данных, собранных за последние 6 месяцев, мы обновили уровни серьезности уязвимостей. Теперь они лучше отражают реальный риск для безопасности пользователей.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующихсервисы Google для мобильных устройств. Это особенно важно, если устанавливаются приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, сервис "Проверка приложений" предупреждает об этом. Кроме того, инструмент проверки пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное приложение уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-2454.
- Энди Тайлер (@ticarpi) из e2e-assure: CVE-2016-2457.
- Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2441, CVE-2016-2442.
- Дзмитрий Лукьяненка (www.linkedin.com/in/dzima): CVE-2016-2458.
- Гэл Бениамини: CVE-2016-2431.
- Хао Чэнь из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-2456.
- Джейк Валлетта из Mandiant, дочерней компании FireEye: CVE-2016-2060.
- Цзяньцян Чжао (@jianqiangzhao) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446.
- Имре Рад из Search-Lab Ltd.: CVE-2016-4477.
- Джереми Джослин из Google: CVE-2016-2461.
- Кенни Рут из Google: CVE-2016-2462.
- Марко Грасси (@marcograss) из KeenLab (@keen_lab), Tencent: CVE-2016-2443.
- Михал Беднарский (https://github.com/michalbednarski): CVE-2016-2440.
- Минцзянь Чжоу (@Mingjian_Zhou), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452.
- Питер Пи (@heisecode) из Trend Micro: CVE-2016-2459, CVE-2016-2460.
- Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-2428, CVE-2016-2429.
- Юань-Цун Ло, Лубо Чжан, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-2437.
- Юйлун Чжан и Тао (Ленкс) Вэй из Baidu X-Lab: CVE-2016-2439.
- Зак Риггл (@ebeip90) из команды безопасности Android: CVE-2016-2430.
Описание уязвимостей
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2016-05-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми устройствами Nexus, версиями AOSP (при наличии) и датой сообщения об ошибке. Где возможно, мы приводим ссылку на изменение в AOSP, связанное с идентификатором ошибки. Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Удаленное выполнение кода через mediaserver
При обработке медиафайлов и данных злоумышленник может с помощью специально созданного файла нарушить целостность информации в памяти и удаленно выполнить код в контексте процесса mediaserver.
Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.
Уязвимости присвоен критический уровень серьезности из-за возможности удаленно выполнять код в контексте сервиса mediaserver. У этого сервиса есть доступ к аудио- и видеопотокам, а также права, которыми обычно не могут обладать сторонние приложения.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 января 2016 г. |
| CVE-2016-2429 | 27211885 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 февраля 2016 г. |
Повышение привилегий через Debuggerd
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте отладчика Android. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 февраля 2016 г. |
Повышение привилегий через TrustZone процессора Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра TrustZone. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | Критический | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | 15 октября 2015 г. |
| CVE-2016-2432 | 25913059* | Критический | Nexus 6, Android One | 28 ноября 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | Критический | Nexus 5X, Nexus 7 (2013) | 23 января 2016 г. |
| CVE-2015-0570 | 26764809* | Критический | Nexus 5X, Nexus 7 (2013) | 25 января 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через видеодрайвер NVIDIA
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | Критический | Nexus 9 | 17 февраля 2016 г. |
| CVE-2016-2435 | 27297988* | Критический | Nexus 9 | 20 февраля 2016 г. |
| CVE-2016-2436 | 27299111* | Критический | Nexus 9 | 22 февраля 2016 г. |
| CVE-2016-2437 | 27436822* | Критический | Nexus 9 | 1 марта 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через ядро
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. Узнайте больше об этой уязвимости в Примечании по безопасности Android от 18 марта 2016 года.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | Критический | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | 19 февраля 2016 г. |
* Исправление опубликовано в AOSP для следующих версий ядра: 3.14, 3.10 и 3.4.
Удаленное выполнение кода через ядро
Уязвимость в подсистеме аудио позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту привилегированного сервиса, вызывающего подсистему аудио, поэтому уровень был снижен до высокого.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Высокий | Nexus 9 | Доступно только сотрудникам Google |
* Исправление опубликовано в сообществе Linux.
Раскрытие информации через контроллер точек доступа Qualcomm
С помощью уязвимости локальное вредоносное приложение может получать несанкционированный доступ к информации, позволяющей идентифицировать личность. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature или SignatureOrSystem).
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Высокий | Нет | 23 марта 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних драйверах для устройств, на которых присутствует уязвимость.
Удаленное выполнение кода через Bluetooth
Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код во время подключения устройства Bluetooth. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 февраля 2016 г. |
Повышение привилегий через Binder
Уязвимость позволяет вредоносному ПО выполнять произвольный код в контексте процесса другого приложения (при очистке памяти). Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 февраля 2016 г. |
Повышение привилегий через Buspm-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Высокий | Nexus 5X, Nexus 6, Nexus 6P | 30 декабря 2015 г. |
| CVE-2016-2442 | 26494907* | Высокий | Nexus 5X, Nexus 6, Nexus 6P | 30 декабря 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через MDP-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Высокий | Nexus 5, Nexus 7 (2013) | 5 января 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному приложению выполнять несанкционированные системные вызовы для изменения настроек и работы устройства. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature или SignatureOrSystem).
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Высокий | Nexus 5X, Nexus 7 (2013) | 25 января 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через видеодрайвер NVIDIA
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту высокопривилегированного сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Высокий | Nexus 9 | 16 февраля 2016 г. |
| CVE-2016-2445 | 27253079* | Высокий | Nexus 9 | 17 февраля 2016 г. |
| CVE-2016-2446 | 27441354* | Высокий | Nexus 9 | 1 марта 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Wi-Fi
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
Примечание. По запросу компании MITRE идентификатор уязвимости (CVE) был изменен с CVE-2016-2447 на CVE-2016-4477.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [2] | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 февраля 2016 г. |
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному приложению выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 марта 2016 г. |
| CVE-2016-2449 | 27568958 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 марта 2016 г. |
| CVE-2016-2450 | 27569635 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 марта 2016 г. |
| CVE-2016-2451 | 27597103 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 марта 2016 г. |
| CVE-2016-2452 | 27662364 [2] [3] | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 марта 2016 г. |
Повышение привилегий через Wi-Fi-драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Высокий | Android One | 8 марта 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Удаленный отказ в обслуживании в аппаратном кодеке Qualcomm
При обработке медиафайлов и данных злоумышленник может с помощью специально созданного файла удаленно блокировать доступ к затронутому устройству, выполняя его перезагрузку. Уязвимости присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Высокий | Nexus 5 | 16 декабря 2015 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Conscrypt
Уязвимость позволяет подделывать аутентификацию сообщений для локального ПО. Проблеме присвоен средний уровень серьезности, поскольку для ее использования требуются скоординированные действия на нескольких устройствах.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [2] | Средний | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
| CVE-2016-2462 | 27371173 | Средний | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Повышение привилегий через OpenSSL и BoringSSL
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Как правило, таким ошибкам присваивают высокий уровень серьезности, но в этом случае для использования уязвимости требуется редкая конфигурация, установленная вручную. Поэтому уровень был снижен до среднего.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 февраля 2016 г. |
Повышение привилегий через Wi-Fi-драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО вызвать отказ в обслуживании. Как правило, таким ошибкам присваивают высокий уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту системного сервиса, поэтому уровень был снижен до среднего.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Средний | Android One | 19 февраля 2016 г. |
* Исправление не опубликовано в AOSP. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Wi-Fi
Уязвимость позволяет гостевому аккаунту менять настройки Wi-Fi для основного пользователя. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня dangerous (опасные).
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 февраля 2016 г. |
Раскрытие информации через почтовый клиент AOSP
Уязвимость позволяет локальному вредоносному приложению получать несанкционированный доступ к конфиденциальным данным пользователя. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [2] | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 февраля 2016 г. |
Раскрытие информации через mediaserver
Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ошибки Android | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 марта 2016 г. |
| CVE-2016-2460 | 27555981 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 марта 2016 г. |
Отказ в обслуживании в ядре
Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку устройства. Ей присвоен низкий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.
| CVE | Ошибка Android | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Низкий | Все устройства | 17 марта 2016 г. |
* Исправление опубликовано в сообществе Linux.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Перечисленные проблемы устранены в исправлении от 1 мая 2016 года и более новых. Сведения о том, как проверить уровень исправления системы безопасности, можно найти в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-05-01].
2. Как определить, на каких устройствах Nexus присутствует уязвимость?
В каждой таблице из раздела Описание уязвимостей есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.
- Все устройства. Проблема возникает на следующих поддерживаемых устройствах Nexus: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C.
- Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
- Нет. Проблема не возникает ни на одном устройстве Nexus.
3. Почему в этот бюллетень добавлена информация об уязвимости CVE-2015-1805?
Примечание по безопасности Android от 18 марта 2016 года было опубликовано незадолго до выхода апрельского Бюллетеня по безопасности Nexus. Из-за сжатых сроков производители устройств, использующие исправление системы безопасности от 1 апреля 2016 года, могли опубликовать решения проблем из апрельского бюллетеня, не устраняя уязвимость CVE-2015-1805. Сведения о ней были включены в текущий бюллетень, поскольку ее необходимо исправить для установки исправления от 1 мая 2016 года.
Версии
- 2 мая 2016 года. Бюллетень опубликован.
- 4 мая 2016 года.
- Добавлены ссылки на AOSP.
- Указано, присутствуют ли уязвимости на устройствах Nexus Player и Pixel C.
- По запросу компании MITRE идентификатор CVE-2016-2447 изменен на CVE-2016-4477.