פורסם ב-06 ביולי 2016 | עודכן ב-1 באפריל, 2019
עלון האבטחה של אנדרואיד מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד. לצד העלון, פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אוויר (OTA). תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 5 ביולי 2016 או מאוחר יותר מתייחסות לכל הבעיות הרלוונטיות בעלון זה. עיין בתיעוד כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה.
שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-6 ביוני 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP). עלון זה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף ההפחתות בשירותי אנדרואיד וגוגל לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד.
אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
הכרזות
- עלון זה מגדיר שתי מחרוזות ברמת תיקון האבטחה כדי לספק לשותפים של אנדרואיד את הגמישות לנוע מהר יותר כדי לתקן קבוצת משנה של פגיעויות הדומות בכל מכשירי האנדרואיד. ראה שאלות ותשובות נפוצות למידע נוסף:
- 2016-07-01 : מחרוזת רמת תיקון אבטחה חלקית. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-07-01 מטופלות.
- 2016-07-05 : השלם מחרוזת רמת תיקון האבטחה. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-07-01 ו-2016-07-05 מטופלות.
- מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 5 ביולי 2016.
הפחתות שירותי אנדרואיד וגוגל
זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet , שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק . אימות אפליקציות מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון Mediaserver.
תודות
ברצוננו להודות לחוקרים אלו על תרומתם:
- Abhishek Arya, Oliver Chang ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- אדם דוננפלד ואח'. של צ'ק פוינט טכנולוגיות תוכנה בע"מ: CVE-2016-2503
- אדם פאוול מגוגל: CVE-2016-3752
- אלכס צ'פמן ופול סטון מאבטחת מידע בהקשר: CVE-2016-3763
- אנדי טיילר ( @ticarpi ) מ- e2e-assure : CVE-2016-2457
- בן הוקס מ-Google Project Zero: CVE-2016-3775
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- כריסטופר טייט מגוגל: CVE-2016-3759
- Di Shen ( @returnsme ) מ- KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) ממעבדת IceSword, Qihoo 360 Technology Co. Ltd. , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- גרג קייזר מצוות Google Android: CVE-2016-3758
- גואנג גונג (龚广) ( @oldfresher ) מ- Mobile Safe Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
- Hao Chen ו-Guang Gong מ-Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
- Hao Qin ממעבדת מחקר אבטחה, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
- Jianqiang Zhao ( @jianqiangzhao ) ו-pjf ( weibo.com/jfpan ) ממעבדת IceSword, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-307, CVE-2016-3808
- מרקו נליסן מגוגל: CVE-2016-3818
- Mark Brand של Google Project Zero: CVE-2016-3757
- מיכאל בדנרסקי : CVE-2016-3750
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Peng Xiao, Chengming Yang, Ning You, Chao Yang ו-Yang Ssong מקבוצת האבטחה הניידת של Alibaba: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-379816-3799
- Peter Pi ( @heisecode ) מ-Trend Micro: CVE-2016-3793
- ריקי וואי מגוגל: CVE-2016-3749
- רולנד קראק: CVE-2016-3753
- סקוט באואר ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- וסילי ואסילב: CVE-2016-2507
- Weichao Sun ( @sunblate ) מ-Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
- Wen Niu ( @NWMonster ) מ- KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
- Xiling Gong ממחלקת פלטפורמת האבטחה של Tencent: CVE-2016-3745
- Yacong Gu ממעבדת TCA, המכון לתוכנה, האקדמיה הסינית למדעים: CVE-2016-3761
- Yongke Wang ( @Rudykewang ) מ-Xuanwu LAB, Tencent: CVE-2016-2505
- Yongke Wang ( @Rudykewang ) ו- Wei Wei ( @Danny__Wei ) מ-Xuanwu LAB, Tencent: CVE-2016-2506
- יולונג ג'אנג וטאו (לנקס) ווי מ-Baidu X-Lab: CVE-2016-3744
רמת תיקון אבטחה 2016-07-01—פרטי פגיעות אבטחה
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-07-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
פגיעות של ביצוע קוד מרחוק ב-Mediaserver
פגיעות של ביצוע קוד מרחוק ב-Mediaserver עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצי מדיה ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך Mediaserver. לתהליך Mediaserver יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | קריטי | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 באפריל, 2016 |
| CVE-2016-2505 | A-28333006 | קריטי | הכל Nexus | 6.0, 6.0.1 | 21 באפריל, 2016 |
| CVE-2016-2507 | A-28532266 | קריטי | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 במאי 2016 |
| CVE-2016-2508 | A-28799341 [ 2 ] | קריטי | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 במאי 2016 |
| CVE-2016-3741 | A-28165661 [ 2 ] | קריטי | הכל Nexus | 6.0, 6.0.1 | Google פנימי |
| CVE-2016-3742 | A-28165659 | קריטי | הכל Nexus | 6.0, 6.0.1 | Google פנימי |
| CVE-2016-3743 | A-27907656 | קריטי | הכל Nexus | 6.0, 6.0.1 | Google פנימי |
פגיעות של ביצוע קוד מרחוק ב-OpenSSL ו-BoringSSL
פגיעות של ביצוע קוד מרחוק ב-OpenSSL ו-BoringSSL עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצים ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך מושפע.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | קריטי | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 במאי 2016 |
פגיעות של ביצוע קוד מרחוק ב-Bluetooth
פגיעות של ביצוע קוד מרחוק ב-Bluetooth עלולה לאפשר לתוקף פרוקסימלי לבצע קוד שרירותי במהלך תהליך ההתאמה. בעיה זו מדורגת כגבוהה בשל האפשרות של ביצוע קוד מרחוק במהלך האתחול של מכשיר Bluetooth.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 במרץ 2016 |
הפגיעות של העלאת הרשאות ב-libpng
פגיעות העלאת הרשאות ב-libpng עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגברת. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 בדצמבר 2015 |
הפגיעות של העלאת הרשאות ב-Mediaserver
פגיעות העלאת הרשאות ב-Mediaserver עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של יישום מערכת מוגבה. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, כגון הרשאות הרשאות Signature או SignatureOrSystem , שאינן נגישות ליישום של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 באפריל, 2016 |
| CVE-2016-3746 | A-27890802 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 במרץ 2016 |
| CVE-2016-3747 | A-27903498 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 במרץ 2016 |
הפגיעות של העלאת הרשאות בשקעים
הפגיעות של העלאת הרשאות בשקעים עלולה לאפשר לאפליקציה זדונית מקומית לגשת לשיחות מערכת מחוץ לרמת ההרשאות שלה. בעיה זו מדורגת כגבוהה מכיוון שהיא עלולה לאפשר עקיפת אמצעי אבטחה במקום כדי להגביר את הקושי של תוקפים לנצל את הפלטפורמה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | גָבוֹהַ | הכל Nexus | 6.0, 6.0.1 | 13 באפריל, 2016 |
הפגיעות של העלאת הרשאות ב- LockSettingsService
פגיעות העלאת הרשאות ב- LockSettingsService עלולה לאפשר לאפליקציה זדונית לאפס את סיסמת נעילת המסך ללא אישור מהמשתמש. בעיה זו מדורגת כגבוהה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים עבור כל שינוי של מפתח או הגדרות אבטחה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | גָבוֹהַ | הכל Nexus | 6.0, 6.0.1 | Google פנימי |
הפגיעות של העלאת הרשאות בממשקי API של Framework
הפגיעות של העלאת הרשאות בממשקי ה-API של Parcels Framework עלולה לאפשר לאפליקציה זדונית מקומית לעקוף הגנות של מערכת הפעלה המבודדות נתוני יישומים מיישומים אחרים. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה לנתונים שאין לאפליקציה גישה אליהם.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 בדצמבר 2015 |
הפגיעות של העלאת הרשאות בשירות ChooserTarget
הפגיעות של העלאת הרשאות בשירות ChooserTarget עלולה לאפשר ליישום זדוני מקומי להפעיל קוד בהקשר של יישום אחר. בעיה זו מדורגת גבוה מכיוון שניתן להשתמש בה כדי לגשת לפעילויות השייכות לאפליקציה אחרת ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | גָבוֹהַ | הכל Nexus | 6.0, 6.0.1 | Google פנימי |
פגיעות של חשיפת מידע ב-Mediaserver
פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר לתוקף מרוחק לגשת לנתונים מוגנים הנגישים בדרך כלל רק לאפליקציות מותקנות מקומיות המבקשות הרשאה. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | גָבוֹהַ | אף אחד* | 4.4.4 | 15 בפברואר 2016 |
* מכשירי Nexus נתמכים שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
פגיעות של חשיפת מידע ב-OpenSSL
פגיעות של חשיפת מידע ב-OpenSSL עלולה לאפשר לתוקף מרוחק לגשת לנתונים מוגנים הנגישים בדרך כלל רק לאפליקציות מותקנות מקומיות המבקשות הרשאה. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | גָבוֹהַ | אף אחד* | 4.4.4, 5.0.2, 5.1.1 | 13 באפריל, 2016 |
* מכשירי Nexus נתמכים שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
פגיעות מניעת שירות ב-Mediaserver
פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [ 2 ] | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 במאי 2016 |
| CVE-2016-3755 | A-28470138 | גָבוֹהַ | הכל Nexus | 6.0, 6.0.1 | 29 באפריל, 2016 |
| CVE-2016-3756 | A-28556125 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות מניעת שירות ב-libc
פגיעות של מניעת שירות ב-libc עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. נושא זה מדורג כגבוה בשל האפשרות של מניעת שירות מרחוק.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [ 2 ] | גָבוֹהַ | אף אחד* | 4.4.4 | Google פנימי |
* מכשירי Nexus נתמכים שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
פגיעות העלאת הרשאות ב-lsof
הפגיעות של העלאת הרשאות ב-lsof עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי שעלול להוביל לפגיעה קבועה במכשיר. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת שלבים ידניים לא שכיחים.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 באפריל, 2016 |
הפגיעות של העלאת הרשאות ב-DexClassLoader
הפגיעות של העלאת הרשאות ב-DexClassLoader עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת שלבים ידניים לא שכיחים.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
הפגיעות של העלאת הרשאות בממשקי API של Framework
הפגיעות של העלאת הרשאות בממשקי ה-API של Framework עלולה לאפשר לאפליקציה זדונית מקומית לבקש הרשאות גיבוי וליירט את כל נתוני הגיבוי. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת הרשאות ספציפיות כדי לעקוף הגנות של מערכת ההפעלה המבודדות נתוני אפליקציות מיישומים אחרים.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | לְמַתֵן | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
הפגיעות של העלאת הרשאות ב-Bluetooth
פגיעות העלאת הרשאות ברכיב ה-Bluetooth עלולה לאפשר לתוקף מקומי להוסיף התקן Bluetooth מאומת שנמשך עבור המשתמש הראשי. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [ 2 ] [ 3 ] | לְמַתֵן | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 בפברואר 2016 |
הפגיעות של העלאת הרשאות ב-NFC
הפגיעות של העלאת הרשאות ב-NFC עלולה לאפשר ליישום רקע זדוני מקומי לגשת למידע מיישום חזית. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 באפריל, 2016 |
הפגיעות של העלאת הרשאות בשקעים
הפגיעות של העלאת הרשאות בשקעים עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה לסוגי שקעים נדירים מסוימים שעלולה להוביל לביצוע קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כמתונה מכיוון שהיא עלולה לאפשר עקיפת אמצעי אבטחה על מנת להגביר את הקושי של תוקפים לנצל את הפלטפורמה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | לְמַתֵן | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 באפריל, 2016 |
פגיעות של חשיפת מידע ב-Proxy Auto-Config
פגיעות של חשיפת מידע ברכיב Proxy Auto-Config עלולה לאפשר לאפליקציה לגשת למידע רגיש. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא הרשאה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 במרץ 2016 |
פגיעות של חשיפת מידע ב-Mediaserver
פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית לגשת למידע רגיש. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 באפריל, 2016 |
| CVE-2016-3765 | A-28168413 | לְמַתֵן | הכל Nexus | 6.0, 6.0.1 | 8 באפריל, 2016 |
פגיעות מניעת שירות ב-Mediaserver
פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. נושא זה מדורג כבינוני בשל האפשרות של מניעת שירות מרחוק.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [ 2 ] | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 באפריל, 2016 |
רמת תיקון האבטחה של 2016-07-05—פרטי פגיעות
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-07-05. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | קריטי | Nexus 5X, Nexus 6P | 5 באפריל, 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | קריטי | Nexus 5X, Nexus 6, Nexus 6P | 20 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של MediaTek
הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363* M-ALPS02689526 | קריטי | Android One | 6 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות ברכיב הביצועים של Qualcomm
הפגיעות של העלאת הרשאות ברכיב הביצועים של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | קריטי | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן וידאו של NVIDIA
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 | קריטי | Nexus 9 | 18 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהלי התקנים של MediaTek (ספציפי למכשיר)
הפגיעות של העלאת הרשאות במספר מנהלי התקנים של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 | קריטי | Android One | 22 באפריל, 2016 |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 | קריטי | Android One | 22 באפריל, 2016 |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 | קריטי | Android One | 22 באפריל, 2016 |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 | קריטי | Android One | 22 באפריל, 2016 |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 | קריטי | Android One | 22 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במערכת קבצי הליבה
הפגיעות של העלאת הרשאות במערכת קבצי הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | קריטי | Nexus 5X, Nexus 6, Nexus 6P ו-Nexus Player, Pixel C | 4 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן USB
הפגיעות של העלאת הרשאות במנהל ההתקן של ה-USB עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה קריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | קריטי | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות ברכיבי קוואלקום
הטבלה שלהלן מכילה פרצות אבטחה המשפיעות על רכיבי קוואלקום, לרבות טוען האתחול, מנהל התקן המצלמה, מנהל ההתקן של התווים, הרשת, מנהל ההתקן הקול ומנהל ההתקן של הווידאו.
הבעיות החמורות ביותר מדורגות כקריטיות עקב אפשרות של ביצוע קוד שרירותי המוביל לאפשרות של התפשרות מקומית קבועה במכשיר, מה שעלול לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה* | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [ 2 ] | קריטי | נקסוס 5 | 8 באוגוסט 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 | קריטי | Nexus 7 (2013) | 8 באוגוסט 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 | קריטי | Nexus 5X, Nexus 6P | 30 בדצמבר 2015 |
| CVE-2014-9781 | A-28410333 QC-CR556471 | גָבוֹהַ | Nexus 7 (2013) | 6 בפברואר 2014 |
| CVE-2014-9786 | A-28557260 QC-CR545979 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 13 במרץ 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 | גָבוֹהַ | נקסוס 5 | 13 במרץ 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 | גָבוֹהַ | נקסוס 5 | 13 במרץ 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6P | 13 במרץ 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 | גָבוֹהַ | נקסוס 5 | 13 במרץ 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 | גָבוֹהַ | Nexus 7 (2013) | 13 במרץ 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9783 | A-28441831 QC-CR511382 [ 2 ] | גָבוֹהַ | Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9785 | A-28469042 QC-CR545747 | גָבוֹהַ | Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9787 | A-28571496 QC-CR545764 | גָבוֹהַ | Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9784 | A-28442449 QC-CR585147 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9790 | A-28769136 QC-CR545716 [ 2 ] | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9792 | A-28769399 QC-CR550606 | גָבוֹהַ | נקסוס 5 | 30 באפריל, 2014 |
| CVE-2014-9797 | A-28821090 QC-CR674071 | גָבוֹהַ | נקסוס 5 | 3 ביולי 2014 |
| CVE-2014-9791 | A-28803396 QC-CR659364 | גָבוֹהַ | Nexus 7 (2013) | 29 באוגוסט 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 בספטמבר 2014 |
| CVE-2014-9800 | A-28822150 QC-CR692478 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 באוקטובר 2014 |
| CVE-2014-9799 | A-28821731 QC-CR691916 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 באוקטובר 2014 |
| CVE-2014-9801 | A-28822060 QC-CR705078 | גָבוֹהַ | נקסוס 5 | 28 בנובמבר 2014 |
| CVE-2014-9802 | A-28821965 QC-CR705108 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 בדצמבר 2014 |
| CVE-2015-8891 | A-28842418 QC-CR813930 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 29 במאי 2015 |
| CVE-2015-8888 | A-28822465 QC-CR813933 | גָבוֹהַ | נקסוס 5 | 30 ביוני 2015 |
| CVE-2015-8889 | A-28822677 QC-CR804067 | גָבוֹהַ | Nexus 6P | 30 ביוני 2015 |
| CVE-2015-8890 | A-28822878 QC-CR823461 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 19 באוגוסט 2015 |
* דירוג החומרה עבור בעיות אלה מסופק ישירות על ידי קוואלקום.
הפגיעות של העלאת הרשאות במנהל התקן USB של Qualcomm
הפגיעות של העלאת הרשאות במנהל התקן USB של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | גָבוֹהַ | Nexus 5X, Nexus 6P | 11 במרץ 2016 |
הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | גָבוֹהַ | Nexus 7 (2013) | 17 במרץ 2016 |
הפגיעות של העלאת הרשאות במנהל ההתקן של המצלמה של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 במרץ 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA
הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 | גָבוֹהַ | Nexus 9 | 5 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות ב-MediaTek Power Driver
העלאת הרשאות במנהל ההתקן של MediaTek יכולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 | גָבוֹהַ | Android One | 7 באפריל, 2016 |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 | גָבוֹהַ | Android One | 7 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | גָבוֹהַ | Nexus 5X | 7 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של חיישני החומרה של MediaTek
הפגיעות של העלאת הרשאות במנהל ההתקן של חיישני החומרה של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 | גָבוֹהַ | Android One | 11 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 | גָבוֹהַ | Android One | 11 באפריל, 2016 |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 | גָבוֹהַ | Android One | 11 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek GPS
הפגיעות של העלאת הרשאות במנהל ההתקן של MediaTek GPS עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 | גָבוֹהַ | Android One | 11 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במערכת קבצי הליבה
הפגיעות של העלאת הרשאות במערכת קבצי הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | גָבוֹהַ | Nexus 9 | 19 באפריל, 2016 |
| CVE-2016-3803 | A-28588434* | גָבוֹהַ | Nexus 5X, Nexus 6P | 4 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן לניהול צריכת חשמל של MediaTek
העלאת הרשאות במנהל ההתקן של MediaTek לניהול צריכת החשמל יכולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 | גָבוֹהַ | Android One | 20 באפריל, 2016 |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 | גָבוֹהַ | Android One | 21 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן תצוגה של MediaTek
הפגיעות של העלאת הרשאות במנהל התקן התצוגה של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 | גָבוֹהַ | Android One | 26 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של ממשק היקפי טורי
הפגיעות של העלאת הרשאות במנהל ההתקן של ממשק היקפי טורי עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | גָבוֹהַ | Nexus 5X, Nexus 6P | 26 באפריל, 2016 |
| CVE-2016-3808 | A-28430009* | גָבוֹהַ | Pixel C | 26 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm
הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כחומרה גבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 28 באפריל, 2016 |
הפגיעות של העלאת הרשאות בקרנל
הפגיעות של העלאת הרשאות בקרנל עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 גרעין במעלה הזרם | גָבוֹהַ | Nexus 5X, Nexus 6P | Google פנימי |
פגיעות של חשיפת מידע ברכיב רשת
פגיעות של חשיפת מידע ברכיב הרשת עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | גָבוֹהַ | הכל Nexus | 5 במרץ 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע במנהל ההתקן של MediaTek Wi-Fi
פגיעות של חשיפת מידע במנהל ההתקן של MediaTek Wi-Fi עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 | גָבוֹהַ | Android One | 12 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן וידאו ליבה
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | לְמַתֵן | Nexus 9 | Google פנימי |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע במנהל התקן ה-Codec וידאו של MediaTek
פגיעות של חשיפת מידע במנהל ההתקן של MediaTek Video Codec עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 | לְמַתֵן | Android One | 11 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע במנהל התקן USB של Qualcomm
פגיעות של חשיפת מידע במנהל התקן ה-USB של Qualcomm עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | לְמַתֵן | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 11 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע במנהל התקן של מצלמת NVIDIA
פגיעות של חשיפת מידע במנהל ההתקן של מצלמת NVIDIA עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 | לְמַתֵן | Nexus 9 | 14 באפריל, 2016 |
| CVE-2016-3815 | A-28522274* N-CVE20163815 | לְמַתֵן | Nexus 9 | 1 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע במנהל התקן התצוגה של MediaTek
פגיעות של חשיפת מידע במנהל התקן התצוגה של MediaTek עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | לְמַתֵן | Android One | 26 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע במנהל התקן טלטייפ של ליבה
פגיעות של חשיפת מידע במנהל ההתקן של טלטייפ עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 גרעין במעלה הזרם | לְמַתֵן | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 באפריל, 2016 |
פגיעות מניעת שירות במטען האתחול של קוואלקום
פגיעות של מניעת שירות במטען האתחול של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגרום לפגיעה במכשיר קבוע מקומי, מה שעלול לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | לְמַתֵן | נקסוס 5 | 31 באוקטובר 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | לְמַתֵן | Nexus 5, Nexus 7 (2013) | 19 באוגוסט 2015 |
שאלות ותשובות נפוצות
סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?
רמות תיקון האבטחה של 2016-07-01 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-7-01. רמות תיקון האבטחה של 2016-07-05 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-07-05. עיין במרכז העזרה לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-07-01] או [ro.build.version.security_patch]:[2016-07-05].
2. מדוע בעלון זה כולל שתי מחרוזות ברמת תיקון אבטחה?
עלון זה כולל שתי מחרוזות ברמת תיקון אבטחה על מנת לספק לשותפים של אנדרואיד את הגמישות לנוע מהר יותר כדי לתקן קבוצת משנה של פגיעויות הדומות בכל מכשירי האנדרואיד. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש במחרוזת העדכנית ביותר של תיקון האבטחה.
מכשירים המשתמשים ברמת תיקון האבטחה של 5 ביולי 2016 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעלוני אבטחה זה (וקודמים).
מכשירים המשתמשים ברמת תיקון האבטחה של 1 ביולי 2016 חייבים לכלול את כל הבעיות הקשורות לרמת תיקון האבטחה הזו, כמו גם תיקונים עבור כל הבעיות שדווחו בעלוני אבטחה קודמים. מכשירים המשתמשים ברמת תיקון האבטחה של 1 ביולי 2016 עשויים לכלול גם קבוצת משנה של תיקונים המשויכים לרמת תיקון האבטחה של 5 ביולי 2016.
3. כיצד אוכל לקבוע אילו מכשירי Nexus מושפעים מכל בעיה?
בקטעי פרטי פגיעות אבטחה של 2016-07-01 ו -2016-07-05 , לכל טבלה יש עמודת מכשירי Nexus מעודכנים המכסה את מגוון מכשירי ה-Nexus המושפעים המעודכנים עבור כל בעיה. בעמודה זו יש כמה אפשרויות:
- כל מכשירי ה-Nexus : אם בעיה משפיעה על כל מכשירי ה-Nexus, הטבלה תכלול "כל מכשירי ה-Nexus" בעמודה מכשירי ה-Nexus המעודכנים . "All Nexus" מכיל בתוכו את המכשירים הנתמכים הבאים: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ו-Pixel C.
- מכשירי Nexus מסוימים : אם בעיה לא משפיעה על כל מכשירי ה-Nexus, מכשירי ה-Nexus המושפעים רשומים בעמודה מכשירי Nexus מעודכנים .
- אין מכשירי Nexus : אם אף מכשירי Nexus לא מושפעים מהבעיה, הטבלה תכלול "ללא" בעמודה מכשירי Nexus מעודכנים .
4. למה מפות הערכים בעמודת הפניות?
ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה. הקידומות הללו ממפות באופן הבא:
| קידומת | התייחסות |
|---|---|
| א- | מזהה באג אנדרואיד |
| QC- | מספר סימוכין של קוואלקום |
| M- | מספר סימוכין של MediaTek |
| נ- | מספר סימוכין של NVIDIA |
תיקונים
- 06 ביולי 2016: פרסום עלון.
- 7 ביולי 2016:
- נוספו קישורי AOSP.
- הוסר CVE-2016-3794 מכיוון שהוא עותק של CVE-2016-3814
- ייחוס נוסף עבור CVE-2016-2501 ו-CVE-2016-2502
- 11 ביולי 2016: ייחוס מעודכן עבור CVE-2016-3750
- 14 ביולי 2016: ייחוס מעודכן עבור CVE-2016-2503
- 1 באפריל 2019: קישורי תיקון מעודכנים עבור CVE-2016-3818