發布日期:2016 年 6 月 6 日 | 更新日期:2016 年 6 月 8 日
Android 安全性公告列舉對 Android 裝置造成影響的安全漏洞,並說明相關細節。在這篇公告發布時,Google 已透過無線更新機制 (OTA) 發布 Nexus 裝置的安全性更新。此外,Nexus 韌體映像檔也已經發布到 Google Developers 網站。2016 年 6 月 1 日之後的安全性修補程式等級已解決這些問題。請參閱 Nexus 說明文件,瞭解如何查看安全性修補程式等級。
合作夥伴是在 2016 年 5 月 2 日或之前收到有關公告中所述問題的相關通知。在適用情況下,這些問題的原始碼修補程式已發布到 Android 開放原始碼計畫 (AOSP) 存放區。
其中最嚴重的問題就是「最高」等級的安全漏洞。當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、網頁瀏覽活動和多媒體訊息等方法,自動在受影響的裝置上執行。嚴重程度評定標準是假設平台與服務的因應防護措施基於開發作業的需求而被停用,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。
針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果想進一步瞭解 Android 安全性平台防護措施和 SafetyNet 等服務防護措施如何加強 Android 平台的安全性,請參閱「Android 和 Google 服務提供的資安因應措施」一節。
我們建議所有客戶接受這些裝置更新。
Android 和 Google 服務提供的資安因應措施
本節概述 Android 安全性平台和 SafetyNet 等服務防護方案提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全漏洞來達到特定目的。
- Android 平台持續推出新版本強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版 Android。
- Android 安全性團隊採用「驗證應用程式」和 SafetyNet 主動監控濫用情形,並向使用者警示可能有害的應用程式。在預設情況下,搭載 Google 行動服務的裝置會自動啟用「驗證應用程式」。使用者如果不是從 Google Play 安裝應用程式,這項防護措施格外重要。雖然 Google Play 禁止發布任何可用於獲取裝置 Root 權限的工具,但是當「驗證應用程式」偵測到使用者嘗試安裝具有這類用途的應用程式時,無論來源為何,都會發出警告。此外,「驗證應用程式」會設法找出已知會攻擊權限提升安全漏洞的惡意應用程式,並禁止安裝這類應用程式。如果使用者已安裝這類應用程式,「驗證應用程式」會通知使用者,並嘗試移除偵測到的應用程式。
- 在適用情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體內容傳送給媒體伺服器這類的處理程序。
特別銘謝
感謝以下研究人員的貢獻:
- 騰訊科恩實驗室 (@keen_lab) 的 Di Shen (@returnsme):CVE-2016-2468
- Gal Beniamini (@laginimaineb):CVE-2016-2476
- 奇虎 360 科技有限公司冰刃實驗室的 Gengjia Chen (@chengjia4574)、pjf (weibo.com/jfpan):CVE-2016-2492
- 奇虎 360 科技有限公司行動安全團隊的 Hao Chen、Guang Gong 和 Wenlin Yang:CVE-2016-2470、CVE-2016-2471、CVE-2016-2472、CVE-2016-2473、CVE-2016-2498
- Iwo Banas:CVE-2016-2496
- 奇虎 360 科技有限公司冰刃實驗室的 Jianqiang Zhao (@jianqiangzhao) 和 pjf (weibo.com/jfpan):CVE-2016-2490、CVE-2016-2491
- Google 的 Lee Campbell:CVE-2016-2500
- Google 安全性團隊的 Maciej Szawłowski:CVE-2016-2474
- Google 的 Marco Nelissen 和 Max Spector:CVE-2016-2487
- Google Project Zero 成員 Mark Brand:CVE-2016-2494
- C0RE 團隊成員 Mingjian Zhou (@Mingjian_Zhou)、Chiachih Wu (@chiachih_wu) 和 Xuxian Jiang:CVE-2016-2477、CVE-2016-2478、CVE-2016-2479、CVE-2016-2480、CVE-2016-2481、CVE-2016-2482、CVE-2016-2483、CVE-2016-2484、CVE-2016-2485、CVE-2016-2486
- Scott Bauer (@ScottyBauer1):CVE-2016-2066、CVE-2016-2061、CVE-2016-2465、CVE-2016-2469、CVE-2016-2489
- Vasily Vasilev:CVE-2016-2463
- 阿里巴巴的 Weichao Sun (@sunblate):CVE-2016-2495
- 騰訊安全平台部門成員 Xiling Gong:CVE-2016-2499
- Android 安全性團隊成員 Zach Riggle (@ebeip90):CVE-2016-2493
安全漏洞詳情
下列各節詳細說明 2016-06-01 安全性修補程式等級適用的安全漏洞,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,當中說明漏洞的 CVE、相關 Android 錯誤、嚴重程度、更新的 Nexus 裝置和回報日期。在適用情況下,我們也會提供更新的 Android 開放原始碼計畫版本。如果有 Android 開放原始碼計畫變更內容可以解決某錯誤,我們會連結相對應的錯誤 ID 和變更內容。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的 Android 開放原始碼計畫參考資料。
媒體伺服器中的遠端程式碼執行安全漏洞
在系統處理媒體檔案和資料期間,媒體伺服器中的遠端程式碼執行安全漏洞,可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。媒體伺服器程序能夠存取串流格式的音訊和視訊,以及第三方應用程式一般無法存取的權限。
受影響的功能是作業系統的核心部分,而多個應用程式都允許遠端內容連到這項功能,其中最常見的內容是多媒體訊息和瀏覽器中播放的媒體。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | 最高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 25 日 |
libwebm 中的遠端程式碼執行漏洞
在系統處理媒體檔案和資料期間,libwebm 內含的遠端程式碼執行安全漏洞可能會讓攻擊者利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。媒體伺服器程序能夠存取串流格式的音訊和視訊,以及第三方應用程式一般無法存取的權限。
受影響的功能是作業系統的核心部分,而多個應用程式都允許遠端內容連到這項功能,其中最常見的內容是多媒體訊息和瀏覽器中播放的媒體。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | 最高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 內部資訊 |
Qualcomm 視訊驅動程式中的權限提升安全漏洞
Qualcomm 視訊驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | 最高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P | 2016 年 2 月 21 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 音效驅動程式中的權限提升安全漏洞
Qualcomm 音效驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | 最高 | Nexus 6 | 2016 年 2 月 27 日 |
| CVE-2016-2467 | 28029010* | 最高 | Nexus 5 | 2014 年 3 月 13 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm GPU 驅動程式中的權限提升安全漏洞
Qualcomm GPU 驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會導致本機裝置受到永久性破壞,需要重新刷新作業系統才能修復,因此嚴重程度評定為「最高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | 最高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7 | 2016 年 3 月 2 日 |
| CVE-2016-2062 | 27364029* | 最高 | Nexus 5X、Nexus 6P | 2016 年 3 月 6 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm Wi-Fi 驅動程式中的權限提升安全漏洞
Qualcomm Wi-Fi 驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | 最高 | Nexus 5X | Google 內部資訊 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
Broadcom Wi-Fi 驅動程式中的權限提升安全漏洞
Broadcom Wi-Fi 驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式不需權限也能叫用系統呼叫,藉此變更裝置設定和行為。由於這個問題可用於取得某些進階功能的本機存取權,因此嚴重程度評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | 高 | Nexus 5、Nexus 6、Nexus 6P、Nexus 7 (2013)、Nexus 9、Nexus Player、Pixel C | 2016 年 1 月 6 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 音效驅動程式中的權限提升安全漏洞
Qualcomm 音效驅動程式中的權限提升安全漏洞,可能會讓惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞可呼叫該驅動程式的服務,因此這個問題的嚴重程度被評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | 高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P | 2016 年 1 月 29 日 |
| CVE-2016-2469 | 27531992* | 高 | Nexus 5、Nexus 6、Nexus 6P | 2016 年 3 月 4 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
媒體伺服器中的權限提升安全漏洞
媒體伺服器中的權限提升安全漏洞,可能會讓本機惡意應用程式在進階系統應用程式的環境內執行任何程式碼。由於這個問題可用於取得某些進階功能的本機存取權 (例如 Signature 或 SignatureOrSystem 等第三方應用程式無法存取的權限),因此嚴重程度評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 11 日 |
| CVE-2016-2477 | 27251096 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 17 日 |
| CVE-2016-2478 | 27475409 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 3 日 |
| CVE-2016-2479 | 27532282 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 6 日 |
| CVE-2016-2480 | 27532721 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 6 日 |
| CVE-2016-2481 | 27532497 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 6 日 |
| CVE-2016-2482 | 27661749 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 14 日 |
| CVE-2016-2483 | 27662502 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 14 日 |
| CVE-2016-2484 | 27793163 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 22 日 |
| CVE-2016-2485 | 27793367 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 22 日 |
| CVE-2016-2486 | 27793371 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 22 日 |
| CVE-2016-2487 | 27833616 [2] [3] | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 內部資訊 |
Qualcomm 相機驅動程式中的權限升級漏洞
Qualcomm 相機驅動程式中的權限提升安全漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞可呼叫該驅動程式的服務,因此這個問題的嚴重程度被評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | 高 | Nexus 5X、Nexus 6P | 2016 年 2 月 15 日 |
| CVE-2016-2488 | 27600832* | 高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7 (2013) | Google 內部資訊 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 視訊驅動程式中的權限提升安全漏洞
Qualcomm 視訊驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞可呼叫該驅動程式的服務,因此這個問題的嚴重程度被評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | 高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P | 2016 年 2 月 21 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
NVIDIA 相機驅動程式中的權限提升安全漏洞
NVIDIA 相機驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞可呼叫該驅動程式的服務,因此這個問題的嚴重程度被評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | 高 | Nexus 9 | 2016 年 3 月 6 日 |
| CVE-2016-2491 | 27556408* | 高 | Nexus 9 | 2016 年 3 月 8 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm Wi-Fi 驅動程式中的權限提升安全漏洞
Qualcomm Wi-Fi 驅動程式中的權限提升安全漏洞,可能會讓惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞可呼叫該驅動程式的服務,因此這個問題的嚴重程度被評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | 高 | Nexus 7 (2013) | 2016 年 3 月 13 日 |
| CVE-2016-2471 | 27773913* | 高 | Nexus 7 (2013) | 2016 年 3 月 19 日 |
| CVE-2016-2472 | 27776888* | 高 | Nexus 7 (2013) | 2016 年 3 月 20 日 |
| CVE-2016-2473 | 27777501* | 高 | Nexus 7 (2013) | 2016 年 3 月 20 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
MediaTek 電源管理驅動程式中的權限提升安全漏洞
MediaTek 電源管理驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞裝置並升級至 Root 權限才能呼叫驅動程式,因此這個問題的嚴重程度被評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | 高 | Android One | 2016 年 4 月 7 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
SD 卡模擬層中的權限提升安全漏洞
SD 卡使用者空間模擬層中的權限提升安全漏洞,可能會讓本機惡意應用程式在進階系統應用程式的環境內執行任何程式碼。由於這個問題可用於取得某些進階功能的本機存取權 (例如 Signature 或 SignatureOrSystem 等第三方應用程式無法存取的權限),因此嚴重程度評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 4 月 7 日 |
Broadcom Wi-Fi 驅動程式中的權限提升安全漏洞
Broadcom Wi-Fi 驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞可呼叫該驅動程式的服務,因此這個問題的嚴重程度被評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | 高 | Nexus 5、Nexus 6、Nexus 6P、Nexus 7 (2013)、Nexus Player、Pixel C | Google 內部資訊 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
媒體伺服器中的遠端阻斷服務安全漏洞
媒體伺服器中的遠端阻斷服務安全漏洞,可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端阻斷服務,因此嚴重程度評定為「高」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | 高 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 4 月 6 日 |
架構使用者介面中的權限升級漏洞
架構使用者介面權限對話方塊視窗中的權限提升安全漏洞,可能會讓攻擊者不必取得授權,也能存取私人儲存空間中的檔案。由於有心人士可以透過這個漏洞取得某些「危險」權限,因此嚴重程度被評定為「中」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | 中 | 所有 Nexus 裝置 | 6.0、6.1 | 2015 年 5 月 26 日 |
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞
Qualcomm Wi-Fi 驅動程式中的資訊外洩安全漏洞,可讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞可呼叫該驅動程式的服務,因此這個問題的嚴重程度被評定為「中」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | 中 | Nexus 7 (2013) | 2016 年 3 月 20 日 |
* 這個問題的修補程式並不在 Android 開放原始碼計畫裡,相關更新已納入 Nexus 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
媒體伺服器中的資訊外洩安全漏洞
媒體伺服器中的資訊外洩安全漏洞,可能會讓應用程式存取機密資訊。由於這個問題可讓攻擊者不必取得授權也能存取資料,因此嚴重程度評定為「中」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | 中 | 所有 Nexus 裝置 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 24 日 |
活動管理員中的資訊外洩漏洞
活動管理員元件中的資訊外洩安全漏洞,可能會讓應用程式存取機密資訊。由於這個問題可讓攻擊者不必取得授權也能存取資料,因此嚴重程度評定為「中」。
| CVE | Android 錯誤 | 嚴重程度 | 更新的 Nexus 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | 中 | 所有 Nexus 裝置 | 5.0.2、5.1.1、6.0、6.0.1 | Google 內部資訊 |
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷我的裝置軟體版本是否更新並修正問題?
2016 年 6 月 1 日之後的安全性修補程式等級已解決了這些問題 (請參閱 Nexus 說明文件,瞭解如何查看安全性修補程式等級)。提供這些更新的裝置製造商應將修補程式字串等級設定為:[ro.build.version.security_patch]:[2016-06-01]
2. 如何判斷哪些 Nexus 裝置會受到哪種問題的影響?
在安全漏洞詳情一節中,每個表格都包含「更新的 Nexus 裝置」欄,當中列出已針對各個問題進行更新的受影響 Nexus 裝置範圍。此欄中的選項包括:
- 所有 Nexus 裝置:如果問題會影響到所有 Nexus 裝置,表格內「更新的 Nexus 裝置」欄中就會顯示「所有 Nexus 裝置」字樣。「所有 Nexus 裝置」包含下列支援的裝置:Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7 (2013)、Nexus 9、Android One、Nexus Player 和 Pixel C。
- 部分 Nexus 裝置:如果問題並未影響所有 Nexus 裝置,「更新的 Nexus 裝置」欄會列出受到影響的 Nexus 裝置。
- 不影響任何 Nexus 裝置:如果問題不會影響任何 Nexus 裝置,表格中的「更新的 Nexus 裝置」欄就會標示「無」。
修訂版本
- 2016 年 6 月 6 日:發布公告。
- 2016 年 6 月 7 日:
- 修訂公告內容 (加入 Android 開放原始碼計畫連結)。
- 從公告中移除 CVE-2016-2496。
- 2016 年 6 月 8 日:將 CVE-2016-2496 加回公告。