Opublikowano 06 lipca 2016 | Zaktualizowano 1 kwietnia 2019 r
Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem opublikowaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego Nexusa zostały także udostępnione w witrynie Google Developer . Poprawki zabezpieczeń z 5 lipca 2016 r. lub nowsze dotyczą wszystkich problemów opisanych w tym biuletynie. Zapoznaj się z dokumentacją , aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06 czerwca 2016 roku lub wcześniej. W stosownych przypadkach w repozytorium Android Open Source Project (AOSP) udostępniono poprawki kodu źródłowego rozwiązujące te problemy. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet, które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia usług Android i Google.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- W tym biuletynie zdefiniowano dwa poziomy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze usuwanie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
- 2016-07-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2016-07-01.
- 2016-07-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2016-07-01 i 2016-07-05.
- Obsługiwane urządzenia Nexus otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 lipca 2016 r.
Ograniczenia dotyczące usług Android i Google
To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Abhishek Arya, Oliver Chang i Martin Barbella z zespołu ds. bezpieczeństwa Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Adam Donenfeld i in. firmy Check Point Software Technologies Ltd.: CVE-2016-2503
- Adam Powell z Google: CVE-2016-3752
- Alex Chapman i Paul Stone ds. bezpieczeństwa informacji kontekstowych: CVE-2016-3763
- Andy Tyler ( @ticarpi ) z e2e-assure : CVE-2016-2457
- Ben Hawkes z Google Project Zero: CVE-2016-3775
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( komputer@gmail.com ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- Christopher Tate z Google: CVE-2016-3759
- Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- Greg Kaiser z zespołu Google Android: CVE-2016-3758
- Guang Gong (龚广) ( @oldfresher ) z zespołu Mobile Safe Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
- Hao Chen i Guang Gong z Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
- Hao Qin z Laboratorium Badań nad Bezpieczeństwem, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
- Jianqiang Zhao ( @jianqiangzhao ) i pjf ( weibo.com/jfpan ) z IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
- Marco Nelissen z Google: CVE-2016-3818
- Oznacz markę Google Project Zero: CVE-2016-3757
- Michał Bednarski : CVE-2016-3750
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Peng Xiao, Chengming Yang, Ning You, Chao Yang i Yang Ssong z Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Peter Pi ( @heisecode ) z Trend Micro: CVE-2016-3793
- Ricky Wai z Google: CVE-2016-3749
- Roeland Krak: CVE-2016-3753
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- Wasilij Wasilew: CVE-2016-2507
- Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
- Wen Niu ( @NWMonster ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
- Xiling Gong z Działu Platformy Bezpieczeństwa Tencent: CVE-2016-3745
- Yacong Gu z TCA Lab, Instytut Oprogramowania, Chińskiej Akademii Nauk: CVE-2016-3761
- Yongke Wang ( @Rudykewang ) z Xuanwu LAB, Tencent: CVE-2016-2505
- Yongke Wang ( @Rudykewang ) i Wei Wei ( @Danny__Wei ) z Xuanwu LAB, Tencent: CVE-2016-2506
- Yulong Zhang i Tao (Lenx) Wei z Baidu X-Lab: CVE-2016-3744
Poziom poprawki zabezpieczeń z dnia 2016-07-01 — szczegóły luk w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-07-01. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserverze
Luka w zabezpieczeniach programu Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera. Proces Mediaserver ma dostęp do strumieni audio i wideo, a także dostęp do uprawnień, do których normalnie nie mają dostępu aplikacje innych firm.
Funkcja, której to dotyczy, jest dostarczana jako podstawowa część systemu operacyjnego i istnieje wiele aplikacji, które umożliwiają dostęp do niej za pomocą zdalnej zawartości, w szczególności wiadomości MMS i odtwarzania multimediów w przeglądarce.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 kwietnia 2016 r |
| CVE-2016-2505 | A-28333006 | Krytyczny | Cały Nexus | 6.0, 6.0.1 | 21 kwietnia 2016 r |
| CVE-2016-2507 | A-28532266 | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 maja 2016 r |
| CVE-2016-2508 | A-28799341 [ 2 ] | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 maja 2016 r |
| CVE-2016-3741 | A-28165661 [ 2 ] | Krytyczny | Cały Nexus | 6.0, 6.0.1 | Wewnętrzne Google |
| CVE-2016-3742 | A-28165659 | Krytyczny | Cały Nexus | 6.0, 6.0.1 | Wewnętrzne Google |
| CVE-2016-3743 | A-27907656 | Krytyczny | Cały Nexus | 6.0, 6.0.1 | Wewnętrzne Google |
Luka umożliwiająca zdalne wykonanie kodu w OpenSSL i BoringSSL
Luka w zabezpieczeniach OpenSSL i BoringSSL umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście dotkniętego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | Krytyczny | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 maja 2016 r |
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Bluetooth
Luka w zabezpieczeniach Bluetooth umożliwiająca zdalne wykonanie kodu może pozwolić najbliższej osobie atakującej na wykonanie dowolnego kodu podczas procesu parowania. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu podczas inicjalizacji urządzenia Bluetooth.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 marca 2016 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w libpng
Luka w zabezpieczeniach biblioteki libpng umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 grudnia 2015 r |
Zwiększenie luki w zabezpieczeniach serwera multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście aplikacji systemowej z podwyższonym poziomem uprawnień. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, takich jak uprawnienia do podpisu lub podpisu lub systemu , które nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 kwietnia 2016 r |
| CVE-2016-3746 | A-27890802 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 marca 2016 r |
| CVE-2016-3747 | A-27903498 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 marca 2016 r |
Zwiększenie luki w zabezpieczeniach gniazd
Luka w gniazdach umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji dostęp do wywołań systemowych poza poziomem uprawnień. Ten problem został oceniony jako wysoki, ponieważ może pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność atakujących w korzystaniu z platformy.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Wysoki | Cały Nexus | 6.0, 6.0.1 | 13 kwietnia 2016 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w LockSettingsService
Luka w zabezpieczeniach usługi LockSettingsService umożliwiająca podniesienie uprawnień może umożliwić złośliwej aplikacji zresetowanie hasła blokady ekranu bez autoryzacji ze strony użytkownika. Ten problem ma ocenę Wysoki, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika w przypadku jakichkolwiek modyfikacji ustawień zabezpieczeń przez programistów lub zabezpieczeń.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Wysoki | Cały Nexus | 6.0, 6.0.1 | Wewnętrzne Google |
Zwiększenie luki w zabezpieczeniach interfejsów API platformy Framework
Luka umożliwiająca podniesienie uprawnień w interfejsach API Parcels Framework może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych, do których aplikacja nie ma dostępu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 grudnia 2015 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w usłudze ChooserTarget
Luka w zabezpieczeniach usługi ChooserTarget umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie kodu w kontekście innej aplikacji. Ten problem ma ocenę wysoką, ponieważ można go wykorzystać do uzyskania dostępu do działań należących do innej aplikacji bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Wysoki | Cały Nexus | 6.0, 6.0.1 | Wewnętrzne Google |
Luka umożliwiająca ujawnienie informacji w Mediaserverze
Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić zdalnemu atakującemu dostęp do chronionych danych, które zwykle są dostępne tylko dla aplikacji zainstalowanych lokalnie, które proszą o pozwolenie. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Wysoki | Nic* | 4.4.4 | 15 lutego 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca ujawnienie informacji w OpenSSL
Luka w OpenSSL umożliwiająca ujawnienie informacji może umożliwić zdalnemu atakującemu dostęp do chronionych danych, do których zwykle mają dostęp tylko lokalnie zainstalowane aplikacje, które proszą o pozwolenie. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Wysoki | Nic* | 4.4.4, 5.0.2, 5.1.1 | 13 kwietnia 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [ 2 ] | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 maja 2016 r |
| CVE-2016-3755 | A-28470138 | Wysoki | Cały Nexus | 6.0, 6.0.1 | 29 kwietnia 2016 r |
| CVE-2016-3756 | A-28556125 | Wysoki | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Luka w zabezpieczeniach umożliwiająca odmowę usługi w libc
Luka w zabezpieczeniach biblioteki libc umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [ 2 ] | Wysoki | Nic* | 4.4.4 | Wewnętrzne Google |
* Ta luka nie dotyczy obsługiwanych urządzeń Nexus, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w lsof
Luka w zabezpieczeniach lsof umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu, który może doprowadzić do trwałego naruszenia bezpieczeństwa urządzenia. Ten problem został oceniony jako umiarkowany, ponieważ wymaga rzadkich ręcznych działań.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 kwietnia 2016 r |
Zwiększenie luki w zabezpieczeniach DexClassLoader związanej z podniesieniem uprawnień
Luka w zabezpieczeniach DexClassLoader umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako umiarkowany, ponieważ wymaga rzadkich ręcznych działań.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Zwiększenie luki w zabezpieczeniach interfejsów API platformy Framework
Luka w interfejsach API platformy umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji żądanie uprawnień do tworzenia kopii zapasowych i przechwytywanie wszystkich danych z kopii zapasowych. Ten problem został oceniony jako umiarkowany, ponieważ wymaga określonych uprawnień w celu ominięcia zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Umiarkowany | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Wewnętrzne Google |
Podniesienie luki w uprawnieniach w Bluetooth
Luka umożliwiająca podniesienie uprawnień w komponencie Bluetooth może umożliwić lokalnemu atakującemu dodanie uwierzytelnionego urządzenia Bluetooth, które będzie nadal dostępne dla głównego użytkownika. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do zwiększenia możliwości bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [ 2 ] [ 3 ] | Umiarkowany | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 lutego 2016 r |
Zwiększenie luki w zabezpieczeniach w NFC
Luka w zabezpieczeniach NFC umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji działającej w tle dostęp do informacji z aplikacji działającej na pierwszym planie. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do zwiększenia możliwości bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 kwietnia 2016 r |
Zwiększenie luki w zabezpieczeniach gniazd
Luka w zabezpieczeniach gniazd umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji uzyskanie dostępu do pewnych nietypowych typów gniazd, co może prowadzić do wykonania dowolnego kodu w kontekście jądra. Ten problem został oceniony jako umiarkowany, ponieważ może pozwolić na ominięcie istniejących środków bezpieczeństwa i zwiększyć trudność atakujących w korzystaniu z platformy.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Umiarkowany | Cały Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 kwietnia 2016 r |
Luka umożliwiająca ujawnienie informacji w programie Proxy Auto-Config
Luka w komponencie Proxy Auto-Config umożliwiająca ujawnienie informacji może umożliwić aplikacji dostęp do poufnych informacji. Ten problem ma ocenę umiarkowaną, ponieważ można go wykorzystać do uzyskania dostępu do danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 marca 2016 r |
Luka umożliwiająca ujawnienie informacji w Mediaserverze
Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do poufnych informacji. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do uzyskania dostępu do danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 kwietnia 2016 r |
| CVE-2016-3765 | A-28168413 | Umiarkowany | Cały Nexus | 6.0, 6.0.1 | 8 kwietnia 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem został oceniony jako umiarkowany ze względu na możliwość zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [ 2 ] | Umiarkowany | Cały Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 kwietnia 2016 r |
Poziom poprawki zabezpieczeń z dnia 2016-07-05 — szczegóły dotyczące luki
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2016-07-05. Znajduje się tam opis problemu, uzasadnienie wagi oraz tabela zawierająca CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Nexus, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego Qualcomm
Luka w zabezpieczeniach sterownika procesora graficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | Krytyczny | Nexusa 5X, Nexusa 6P | 5 kwietnia 2016 r |
| CVE-2016-2067 | A-28305757 QC-CR988993 | Krytyczny | Nexusa 5X, Nexusa 6, Nexusa 6P | 20 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika MediaTek Wi-Fi
Luka w zabezpieczeniach sterownika MediaTek Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363* M-ALPS02689526 | Krytyczny | Android Jeden | 6 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach komponentu wydajności Qualcomm
Luka w zabezpieczeniach komponentu wydajności Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | Krytyczny | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika wideo NVIDIA
Luka w sterowniku wideo NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 | Krytyczny | Nexusa 9 | 18 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterowników MediaTek (specyficzne dla urządzenia)
Luka umożliwiająca podniesienie uprawnień w wielu sterownikach MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 | Krytyczny | Android Jeden | 22 kwietnia 2016 r |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 | Krytyczny | Android Jeden | 22 kwietnia 2016 r |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 | Krytyczny | Android Jeden | 22 kwietnia 2016 r |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 | Krytyczny | Android Jeden | 22 kwietnia 2016 r |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 | Krytyczny | Android Jeden | 22 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach systemu plików jądra
Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | Krytyczny | Nexus 5X, Nexus 6, Nexus 6P i Nexus Player, Pixel C | 4 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika USB
Luka w sterowniku USB umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wagę krytyczną ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach komponentów Qualcomm
Poniższa tabela zawiera luki w zabezpieczeniach komponentów Qualcomm, w tym program rozruchowy, sterownik aparatu, sterownik postaci, sterownik sieciowy, sterownik dźwięku i sterownik wideo.
Najpoważniejszy z tych problemów został oceniony jako krytyczny ze względu na możliwość wykonania dowolnego kodu prowadzącego do możliwości trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownego flashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga* | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [ 2 ] | Krytyczny | Nexus 5 | 8 sierpnia 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 | Krytyczny | Nexus 7 (2013) | 8 sierpnia 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 | Krytyczny | Nexusa 5X, Nexusa 6P | 30 grudnia 2015 r |
| CVE-2014-9781 | A-28410333 QC-CR556471 | Wysoki | Nexus 7 (2013) | 6 lutego 2014 r |
| CVE-2014-9786 | A-28557260 QC-CR545979 | Wysoki | Nexus 5, Nexus 7 (2013) | 13 marca 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 | Wysoki | Nexus 5 | 13 marca 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 | Wysoki | Nexus 5 | 13 marca 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 | Wysoki | Nexusa 5, Nexusa 5X, Nexusa 6P | 13 marca 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 | Wysoki | Nexus 5 | 13 marca 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 | Wysoki | Nexus 7 (2013) | 13 marca 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9783 | A-28441831 QC-CR511382 [ 2 ] | Wysoki | Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9785 | A-28469042 QC-CR545747 | Wysoki | Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9787 | A-28571496 QC-CR545764 | Wysoki | Nexus 7 (2013) | 31 marca 2014 r |
| CVE-2014-9784 | A-28442449 QC-CR585147 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9777 | A-28598501 QC-CR563654 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9778 | A-28598515 QC-CR563694 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9790 | A-28769136 QC-CR545716 [ 2 ] | Wysoki | Nexus 5, Nexus 7 (2013) | 30 kwietnia 2014 r |
| CVE-2014-9792 | A-28769399 QC-CR550606 | Wysoki | Nexus 5 | 30 kwietnia 2014 r |
| CVE-2014-9797 | A-28821090 QC-CR674071 | Wysoki | Nexus 5 | 3 lipca 2014 r |
| CVE-2014-9791 | A-28803396 QC-CR659364 | Wysoki | Nexus 7 (2013) | 29 sierpnia 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 | Wysoki | Nexus 5, Nexus 7 (2013) | 30 września 2014 r |
| CVE-2014-9800 | A-28822150 QC-CR692478 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 października 2014 r |
| CVE-2014-9799 | A-28821731 QC-CR691916 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 października 2014 r |
| CVE-2014-9801 | A-28822060 QC-CR705078 | Wysoki | Nexus 5 | 28 listopada 2014 r |
| CVE-2014-9802 | A-28821965 QC-CR705108 | Wysoki | Nexus 5, Nexus 7 (2013) | 31 grudnia 2014 r |
| CVE-2015-8891 | A-28842418 QC-CR813930 | Wysoki | Nexus 5, Nexus 7 (2013) | 29 maja 2015 r |
| CVE-2015-8888 | A-28822465 QC-CR813933 | Wysoki | Nexus 5 | 30 czerwca 2015 r |
| CVE-2015-8889 | A-28822677 QC-CR804067 | Wysoki | Nexusa 6P | 30 czerwca 2015 r |
| CVE-2015-8890 | A-28822878 QC-CR823461 | Wysoki | Nexus 5, Nexus 7 (2013) | 19 sierpnia 2015 r |
* Ocena ważności tych problemów jest podawana bezpośrednio przez firmę Qualcomm.
Zwiększenie luki w zabezpieczeniach sterownika USB Qualcomm
Luka w zabezpieczeniach sterownika USB Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Wysoki | Nexusa 5X, Nexusa 6P | 11 marca 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi
Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Wysoki | Nexus 7 (2013) | 17 marca 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika kamery Qualcomm
Luka w zabezpieczeniach sterownika aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 marca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika kamery NVIDIA
Luka w zabezpieczeniach sterownika kamery NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 | Wysoki | Nexusa 9 | 5 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika zasilania MediaTek
Podniesienie uprawnień w sterowniku zasilania MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 | Wysoki | Android Jeden | 7 kwietnia 2016 r |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 | Wysoki | Android Jeden | 7 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi
Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | Wysoki | Nexusa 5X | 7 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika czujnika sprzętowego MediaTek
Luka w zabezpieczeniach sterownika czujnika sprzętowego MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 | Wysoki | Android Jeden | 11 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika wideo MediaTek
Luka w sterowniku wideo MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 | Wysoki | Android Jeden | 11 kwietnia 2016 r |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 | Wysoki | Android Jeden | 11 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika MediaTek GPS
Luka w zabezpieczeniach sterownika MediaTek GPS umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 | Wysoki | Android Jeden | 11 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach systemu plików jądra
Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Wysoki | Nexusa 9 | 19 kwietnia 2016 r |
| CVE-2016-3803 | A-28588434* | Wysoki | Nexusa 5X, Nexusa 6P | 4 maja 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika zarządzania energią MediaTek
Podniesienie uprawnień w sterowniku zarządzania energią MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 | Wysoki | Android Jeden | 20 kwietnia 2016 r |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 | Wysoki | Android Jeden | 21 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika ekranu MediaTek związanej z podniesieniem uprawnień
Luka w sterowniku ekranu MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 | Wysoki | Android Jeden | 26 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika interfejsu szeregowego urządzeń peryferyjnych
Luka w zabezpieczeniach sterownika interfejsu szeregowego urządzenia peryferyjnego umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Wysoki | Nexusa 5X, Nexusa 6P | 26 kwietnia 2016 r |
| CVE-2016-3808 | A-28430009* | Wysoki | Piksel C | 26 kwietnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .
Wysokość podatności na przywilej w Qualcomm Sound Driver
Podniesienie podatności na przywilej w sterowniku dźwiękowym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonywanie dowolnego kodu w kontekście jądra. Problem ten jest oceniany jako wysoki nasilenie, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6p | 28 kwietnia 2016 r |
Wysokość podatności na przywilej w jądrze
Podniesienie podatności na przywilej w jądrze może umożliwić lokalnej złośliwej aplikacji wykonywanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6p | Google wewnętrzny |
Informacje o ujawnianiu informacji w zakresie komponentu sieciowego
Podatność na ujawnienie informacji w komponencie sieciowym może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako wysoki, ponieważ można go wykorzystać do dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Wysoki | Cały Nexus | 5 marca 2016 r |
* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .
Informacje o ujawnianiu podatności na kierowcę Wi-Fi MediaTek
Podatność na ujawnienie informacji u sterownika Wi-Fi MediaTek może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako wysoki, ponieważ można go wykorzystać do dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-Alps02694389 | Wysoki | Android Jeden | 12 kwietnia 2016 r |
* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .
Wysokość podatności na przywilej w sterowniku wideo
Wyniesienie podatności na przywilej w sterowniku wideo jądra może umożliwić lokalnej złośliwej aplikacji wykonywanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Umiarkowany | Nexusa 9 | Google wewnętrzny |
* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .
Informacje o ujawnianiu podatności w sterowniku kodeku wideo MediaTek
Podatność na ujawnienie informacji w sterowniku kodeku wideo MediaTek może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-Alps02688832 | Umiarkowany | Android Jeden | 11 kwietnia 2016 r |
* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .
Informacje o ujawnianiu informacji w zakresie podatności na sterowniku USB Qualcomm
Podatność na ujawnienie informacji u sterownika USB Qualcomm może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomem uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Umiarkowany | Nexus 5, Nexus 5X, Nexus 6, Nexus 6p | 11 kwietnia 2016 r |
* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .
Informacje o ujawnianiu informacji w przypadku sterownika kamery NVIDIA
Podatność na ujawnienie informacji w sterowniku kamery NVIDIA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 | Umiarkowany | Nexusa 9 | 14 kwietnia 2016 r |
| CVE-2016-3815 | A-28522274* N-CVE20163815 | Umiarkowany | Nexusa 9 | 1 maja 2016 r |
* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .
Informacje na temat ujawnienia informacji w sterowniku wyświetlania MediaTek
Podatność na ujawnienie informacji w sterowniku MediaTek Display może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Umiarkowany | Android Jeden | 26 kwietnia 2016 r |
* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .
Informacje o ujawnianiu informacji w zakresie podatności na sterowniku teleletypu jądra
Podatność na ujawnienie informacji w sterowniku Teletype może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 Jądro nadrzędne | Umiarkowany | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 kwietnia 2016 r |
Odmowa podatności na usługi w Qualcomm Bootloader
Podatność na podatność na usługi w Qualcomm Bootloader może umożliwić lokalnej złośliwej aplikacji spowodowanie lokalnego kompromisu urządzenia, które może wymagać reflashowania systemu operacyjnego w celu naprawy urządzenia. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowane urządzenia Nexus | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Umiarkowany | Nexus 5 | 31 października 2014 r |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Umiarkowany | Nexus 5, Nexus 7 (2013) | 19 sierpnia 2015 r |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Poziomy łatki bezpieczeństwa 2016-07-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem łańcucha zabezpieczeń 2016-7-01. Poziomy łatki bezpieczeństwa 2016-07-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem łańcucha zabezpieczeń 2016-07-05. Instrukcje sprawdzania poziomu łatki bezpieczeństwa można znaleźć w centrum pomocy . Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom łańcucha łatania na: [ro.build.version.security_patch]: [2016-07-01] lub [ro.build.version.security_patch]: [2016-07-05].
2. Dlaczego ten biuletyn ma dwa ciągi na poziomie łatki bezpieczeństwa?
Ten biuletyn ma dwa struny na poziomie bezpieczeństwa, aby zapewnić partnerom z Androidem elastyczność szybszego poruszania się w celu ustalenia podzbioru luk, które są podobne na wszystkich urządzeniach z Androidem. Partnerzy z Androidem są zachęcani do rozwiązania wszystkich problemów w tym biuletynie i korzystania z najnowszego ciągu łatek bezpieczeństwa.
Urządzenia, które wykorzystują poziom łatki bezpieczeństwa z 5 lipca 2016 r. Lub nowsze, muszą zawierać wszystkie odpowiednie łatki w tym (i poprzednich) biuletynach bezpieczeństwa.
Urządzenia korzystające z poziomu łatki bezpieczeństwa 1 lipca 2016 r. Muszą zawierać wszystkie problemy związane z tym poziomem łatki bezpieczeństwa, a także poprawki dla wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa. Urządzenia, które korzystają z 1 lipca 2016 r., Mogą również obejmować podzbiór poprawek związanych z poziomem łatki bezpieczeństwa z 5 lipca 2016 r.
3. Jak ustalić, na które urządzenia Nexus ma wpływ na każdy problem?
W sekcjach podatności na zabezpieczenia 2016-07-01 i 2016-07-05 , każda tabela ma zaktualizowaną kolumnę Nexus Devices, która obejmuje zakres dotychczasowych urządzeń Nexus zaktualizowanych dla każdego wydania. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Nexus : Jeśli problem wpływa na wszystkie urządzenia Nexus, tabela będzie miała „wszystkie Nexus” w zaktualizowanej kolumnie Nexus Devices . „All Nexus” zawiera następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player i Pixel C.
- Niektóre urządzenia Nexus : jeśli problem nie wpływa na wszystkie urządzenia Nexus, dotknięte urządzenia Nexus są wymienione w zaktualizowanej kolumnie Nexus Devices .
- Brak urządzeń Nexus : jeśli problem nie wpłynie na urządzenia Nexus, tabela będzie miała „Brak” w zaktualizowanej kolumnie Nexus Devices .
4. Na co wpisy w kolumnie referencyjnej mapują?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiks mapy w następujący sposób:
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomma |
| M- | Numer referencyjny MediaTeka |
| N- | Numer referencyjny NVIDIA |
Wersje
- 06 lipca 2016: Opublikowano Biuletyn.
- 07 lipca 2016:
- Dodano linki AOSP.
- Usunięto CVE-2016-3794, ponieważ jest to duplikat CVE-2016-3814
- Dodano przypisanie dla CVE-2016-2501 i CVE-2016-2502
- 11 lipca 2016 r.: Zaktualizowane przypisanie dla CVE-2016-3750
- 14 lipca 2016 r.: Zaktualizowane przypisanie dla CVE-2016-2503
- 1 kwietnia 2019: Zaktualizowane linki do łatek dla CVE-2016-3818