פורסם ב-01 באוגוסט 2016 | עודכן ב-21 באוקטובר 2016
עלון האבטחה של אנדרואיד מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד. לצד העלון, פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אוויר (OTA). תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 5 באוגוסט 2016 ואילך מטפלות בבעיות אלה. עיין בתיעוד כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה.
שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-06 ביולי 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP). עלון זה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף ההפחתות בשירותי אנדרואיד וגוגל לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet, המשפרות את האבטחה של פלטפורמת אנדרואיד.
אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
הכרזות
- העלון תוקן כדי לתקן את CVE-2016-3856 ל-CVE-2016-2060.
- בעלון זה כולל שתי מחרוזות ברמת תיקון אבטחה כדי לספק לשותפים של אנדרואיד את הגמישות לנוע מהר יותר כדי לתקן קבוצת משנה של פגיעויות הדומות בכל מכשירי האנדרואיד. ראה שאלות ותשובות נפוצות למידע נוסף:
- 2016-08-01 : מחרוזת רמת תיקון אבטחה חלקית. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-08-01 (וכל מחרוזות רמת תיקון האבטחה הקודמות) מטופלות.
- 2016-08-05 : השלם מחרוזת רמת תיקון האבטחה. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-08-01 ו-2016-08-05 (וכל מחרוזות רמת תיקון האבטחה הקודמות) מטופלות.
- מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 05 באוגוסט 2016.
הפחתות שירותי אנדרואיד וגוגל
זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet , שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק . אימות אפליקציות מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון Mediaserver.
תודות
ברצוננו להודות לחוקרים אלו על תרומתם:
- אבישק אריה, אוליבר צ'אנג ומרטין ברבלה מצוות האבטחה של Google Chrome: CVE-2016-3821, CVE-2016-3837
- אדם דוננפלד ואח'. של צ'ק פוינט טכנולוגיות תוכנה בע"מ: CVE-2016-2504
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3844
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com) ו-Xuxian Jiang מצוות C0RE : CVE-2016-3857
- דיוויד בנג'מין וקני שורש של גוגל: CVE-2016-3840
- Dawei Peng ( Vinc3nt4H ) מצוות האבטחה הנייד של עליבאבא : CVE-2016-3822
- Di Shen ( @returnsme ) מ- KeenLab ( @keen_lab ), Tencent: CVE-2016-3842
- דיאן הקבורן מגוגל: CVE-2016-2497
- דמיטרי ויוקוב מצוות Google Dynamic Tools: CVE-2016-3841
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) ממעבדת IceSword, Qihoo 360 Technology Co. Ltd .: CVE-2016-3852
- גואנג גונג (龚广) ( @oldfresher ) מ-Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
- קאי לו ( @K3vinLuSec ) ממעבדות FortiGuard של Fortinet: CVE-2016-3820
- Kandala Shivaram reddy, DS, ו- Uppi: CVE-2016-3826
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- נתן קרנדל ( @natecray ) מצוות אבטחת המוצר של טסלה מוטורס: CVE-2016-3847, CVE-2016-3848
- שיר Peng Xiao, Chengming Yang, Ning You, Chao Yang ויאנג של Alibaba Mobile Security Group: CVE-2016-3845
- Peter Pi ( @heisecode ) מ-Trend Micro: CVE-2016-3849
- Qianwei Hu ( rayxcp@gmail.com ) של WooYun TangLab : CVE-2016-3846
- Qidan He ( @flanker_hqd ) מ- KeenLab ( @keen_lab ), Tencent: CVE-2016-3832
- Sharvil Nanavati מגוגל: CVE-2016-3839
- שינג'ו פארק ( @ad_ili_rai ) ואלטאף שייק מאבטחה בתקשורת : CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- וסילי וסילייב: CVE-2016-3819
- Weichao Sun ( @sunblate ) מ-Alibaba Inc.: CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Wish Wu (吴潍浠) ( @wish_wu ) של Trend Micro Inc .: CVE-2016-3843
- Yongke Wang ( @Rudykewang ) מ- Xuanwu LAB של Tencent: CVE-2016-3836
ברצוננו להודות לדניאל מיקאי מ-Copperhead Security, לג'ף ונדר סטאופ וליבין קוי מגוגל על תרומתם של עדכונים ברמת הפלטפורמה לצמצום מחלקה של נקודות תורפה כגון CVE-2016-3843. הקלה זו מבוססת על עבודה של בראד שפנגלר מ-Grsecurity.
רמת תיקון אבטחה 2016-08-01—פרטי פגיעות אבטחה
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-08-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כגון רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
פגיעות של ביצוע קוד מרחוק ב-Mediaserver
פגיעות של ביצוע קוד מרחוק ב-Mediaserver עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצי מדיה ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך Mediaserver. לתהליך Mediaserver יש גישה לזרמי אודיו ווידאו, כמו גם גישה להרשאות שאפליקציות צד שלישי לא יכלו לגשת אליהן בדרך כלל.
הפונקציונליות המושפעת מסופקת כחלק מרכזי ממערכת ההפעלה וישנן מספר יישומים המאפשרים להגיע אליה עם תוכן מרוחק, בעיקר MMS והשמעת מדיה בדפדפן.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | קריטי | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 במאי 2016 |
| CVE-2016-3820 | A-28673410 | קריטי | הכל Nexus | 6.0, 6.0.1 | 6 במאי 2016 |
| CVE-2016-3821 | A-28166152 | קריטי | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות של ביצוע קוד מרחוק ב-libjhead
פגיעות של ביצוע קוד מרחוק ב-libjhead עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך חסר הרשאות. בעיה זו מדורגת כגבוהה בשל האפשרות של ביצוע קוד מרחוק ביישומים המשתמשים בספרייה זו.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
הפגיעות של העלאת הרשאות ב-Mediaserver
הפגיעות של העלאת הרשאות ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 במאי 2016 |
| CVE-2016-3824 | A-28816827 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 במאי 2016 |
| CVE-2016-3825 | A-28816964 | גָבוֹהַ | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 במאי 2016 |
| CVE-2016-3826 | A-29251553 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 ביוני 2016 |
פגיעות מניעת שירות ב-Mediaserver
פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום להתקן להיתקע או לאתחל מחדש. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | גָבוֹהַ | הכל Nexus | 6.0.1 | 16 במאי 2016 |
| CVE-2016-3828 | A-28835995 | גָבוֹהַ | הכל Nexus | 6.0, 6.0.1 | 17 במאי 2016 |
| CVE-2016-3829 | A-29023649 | גָבוֹהַ | הכל Nexus | 6.0, 6.0.1 | 27 במאי 2016 |
| CVE-2016-3830 | A-29153599 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות מניעת שירות בשעון המערכת
פגיעות של מניעת שירות בשעון המערכת עלולה לאפשר לתוקף מרוחק לקרוס את המכשיר. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 במאי 2016 |
העלאת פגיעות הרשאות בממשקי API של מסגרת
הפגיעות של העלאת הרשאות בממשקי ה-API של Framework עלולה לאפשר לאפליקציה זדונית מקומית לעקוף הגנות של מערכת הפעלה המבודדות נתוני יישומים מיישומים אחרים. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לקבל גישה לנתונים מחוץ לרמות ההרשאה של האפליקציה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 במאי 2016 |
הפגיעות של העלאת הרשאות ב-Shell
העלאת הרשאות ב-Shell יכולה לאפשר לאפליקציה זדונית מקומית לעקוף אילוצי מכשיר כגון הגבלות משתמש. בעיה זו מדורגת כמתונה מכיוון שהיא עקיפת מקומית של הרשאות משתמש.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [ 2 ] | לְמַתֵן | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות של חשיפת מידע ב-OpenSSL
פגיעות של חשיפת מידע ב-OpenSSL עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | אף אחד* | הכל Nexus | 4.4.4, 5.0.2, 5.1.1 | 29 במרץ 2016 |
* מכשירי Nexus נתמכים שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו
פגיעות של חשיפת מידע בממשקי API של מצלמה
פגיעות של חשיפת מידע בממשקי ה-API של המצלמה עלולה לאפשר ליישום זדוני מקומי לגשת למבני נתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 באפריל, 2016 |
פגיעות של חשיפת מידע ב-Mediaserver
פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 במאי 2016 |
פגיעות של חשיפת מידע ב-SurfaceFlinger
פגיעות של חשיפת מידע בשירות SurfaceFlinger עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | לְמַתֵן | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 במאי 2016 |
פגיעות של חשיפת מידע ב-Wi-Fi
פגיעות של חשיפת מידע ב-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלה. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | לְמַתֵן | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות מניעת שירות בממשק המשתמש של המערכת
פגיעות של מניעת שירות בממשק המשתמש של המערכת עלולה לאפשר לאפליקציה זדונית מקומית למנוע שיחות 911 ממסך נעול. נושא זה מדורג כבינוני בשל האפשרות של מניעת שירות בפונקציה קריטית.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | לְמַתֵן | הכל Nexus | 6.0, 6.0.1 | Google פנימי |
פגיעות מניעת שירות ב-Bluetooth
פגיעות של מניעת שירות ב-Bluetooth עלולה לאפשר לאפליקציה זדונית מקומית למנוע שיחות 911 ממכשיר Bluetooth. נושא זה מדורג כבינוני בשל האפשרות של מניעת שירות בפונקציה קריטית.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
רמת תיקון האבטחה של 2016-08-05—פרטי פגיעות
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-08-05. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
פגיעות של ביצוע קוד מרחוק במנהל התקן Wi-Fi של Qualcomm
פגיעות של ביצוע קוד מרחוק במנהל התקן Wi-Fi של Qualcomm עלולה לאפשר לתוקף מרוחק לבצע קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית במכשיר קבוע.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | קריטי | Nexus 7 (2013) | 31 במרץ 2014 |
פגיעות של ביצוע קוד מרחוק ב-Conscrypt
פגיעות של ביצוע קוד מרחוק ב-Conscrypt עלולה לאפשר לתוקף מרוחק לבצע קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | קריטי | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
הפגיעות של העלאת הרשאות ברכיבי קוואלקום
הטבלה שלהלן מכילה פרצות אבטחה המשפיעות על רכיבי קוואלקום, הכוללות פוטנציאל את טוען האתחול, מנהל ההתקן של המצלמה, כונן התווים, הרשת, מנהל התקן הקול ומנהל ההתקן של הווידאו.
הבעיות החמורות ביותר מדורגות כקריטיות בשל האפשרות שאפליקציה זדונית מקומית עלולה להפעיל קוד שרירותי בהקשר של הליבה המובילה לפגיעה מקומית במכשיר קבוע, מה שעלול לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | קריטי | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9864 | A-28747998 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 27 במרץ 2014 |
| CVE-2014-9865 | A-28748271 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 27 במרץ 2014 |
| CVE-2014-9866 | א-28747684 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9867 | A-28749629 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9868 | A-28749721 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9869 | A-28749728 QC-CR#514711 [ 2 ] | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9870 | א-28749743 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9871 | A-28749803 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9872 | A-28750155 | גָבוֹהַ | נקסוס 5 | 31 במרץ 2014 |
| CVE-2014-9873 | A-28750726 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9874 | A-28751152 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9875 | A-28767589 | גָבוֹהַ | Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9876 | A-28767796 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9877 | A-28768281 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9878 | A-28769208 | גָבוֹהַ | נקסוס 5 | 30 באפריל, 2014 |
| CVE-2014-9879 | A-28769221 | גָבוֹהַ | נקסוס 5 | 30 באפריל, 2014 |
| CVE-2014-9880 | A-28769352 | גָבוֹהַ | Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9881 | A-28769368 | גָבוֹהַ | Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9882 | A-28769546 QC-CR#552329 [ 2 ] | גָבוֹהַ | Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9883 | A-28769912 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9884 | A-28769920 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9885 | A-28769959 | גָבוֹהַ | נקסוס 5 | 30 באפריל, 2014 |
| CVE-2014-9886 | A-28815575 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9887 | A-28804057 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 3 ביולי 2014 |
| CVE-2014-9888 | A-28803642 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 29 באוגוסט 2014 |
| CVE-2014-9889 | A-28803645 | גָבוֹהַ | נקסוס 5 | 31 באוקטובר 2014 |
| CVE-2015-8937 | A-28803962 | גָבוֹהַ | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 במרץ 2015 |
| CVE-2015-8938 | A-28804030 | גָבוֹהַ | Nexus 6 | 31 במרץ 2015 |
| CVE-2015-8939 | A-28398884 | גָבוֹהַ | Nexus 7 (2013) | 30 באפריל, 2015 |
| CVE-2015-8940 | A-28813987 | גָבוֹהַ | Nexus 6 | 30 באפריל, 2015 |
| CVE-2015-8941 | A-28814502 | גָבוֹהַ | Nexus 6, Nexus 7 (2013) | 29 במאי 2015 |
| CVE-2015-8942 | A-28814652 | גָבוֹהַ | Nexus 6 | 30 ביוני 2015 |
| CVE-2015-8943 | A-28815158 | גָבוֹהַ | נקסוס 5 | 11 בספטמבר 2015 |
| CVE-2014-9891 | A-28749283 | לְמַתֵן | נקסוס 5 | 13 במרץ 2014 |
| CVE-2014-9890 | A-28770207 | לְמַתֵן | Nexus 5, Nexus 7 (2013) | 2 ביוני 2014 |
העלאת פגיעות הרשאות ברכיב רשת ליבה
הפגיעות של העלאת הרשאות ברכיב רשת הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | קריטי | הכל Nexus | 23 במרץ 2015 |
| CVE-2016-3841 | A-28746669 | קריטי | הכל Nexus | 3 בדצמבר 2015 |
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365 QC-CR#1002974 | קריטי | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 באפריל, 2016 |
| CVE-2016-3842 | A-28377352 QC-CR#1002974 | קריטי | Nexus 5X, Nexus 6, Nexus 6P | 25 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות ברכיב הביצועים של Qualcomm
הפגיעות של העלאת הרשאות ברכיב הביצועים של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
הערה: קיים גם עדכון ברמת הפלטפורמה בעלון זה תחת A-29119870 שנועד למתן פגיעויות מסוג זה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229* QC-CR#1011071 | קריטי | Nexus 5X, Nexus 6P | 7 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות בקרנל
הפגיעות של העלאת הרשאות בקרנל עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | קריטי | Nexus 7 (2013) | 2 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
העלאת פגיעות הרשאות במערכת זיכרון ליבה
הפגיעות של העלאת הרשאות במערכת זיכרון הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | גָבוֹהַ | נגן נקסוס | 13 בפברואר 2015 |
| CVE-2016-3672 | A-28763575 | גָבוֹהַ | נגן נקסוס | 25 במרץ 2016 |
הפגיעות של העלאת הרשאות ברכיב צליל ליבה
הפגיעות של העלאת הרשאות ברכיב הצליל של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | גָבוֹהַ | הכל Nexus | 19 בינואר 2016 |
| CVE-2016-2546 | A-28694392 | גָבוֹהַ | Pixel C | 19 בינואר 2016 |
| CVE-2014-9904 | A-28592007 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 4 במאי 2016 |
הפגיעות של העלאת הרשאות במערכת קבצי הליבה
הפגיעות של העלאת הרשאות במערכת קבצי הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 2 במרץ 2016 |
הפגיעות של העלאת הרשאות ב-Mediaserver
הפגיעות של העלאת הרשאות ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שאינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517* N-CVE-2016-3844 | גָבוֹהַ | Nexus 9, Pixel C | 19 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן וידאו ליבה
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | גָבוֹהַ | נקסוס 5 | 20 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של ממשק היקפי טורי
הפגיעות של העלאת הרשאות במנהל ההתקן של ממשק היקפי טורי עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | גָבוֹהַ | Nexus 5X, Nexus 6P | 17 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן המדיה של NVIDIA
הפגיעות של העלאת הרשאות במנהל התקן המדיה של NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433* N-CVE-2016-3847 | גָבוֹהַ | Nexus 9 | 19 במאי 2016 |
| CVE-2016-3848 | A-28919417* N-CVE-2016-3848 | גָבוֹהַ | Nexus 9 | 19 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן ION
הפגיעות של העלאת הרשאות במנהל ההתקן של ION עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | גָבוֹהַ | Pixel C | 24 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במטען האתחול של Qualcomm
הפגיעות של העלאת הרשאות במטען האתחול של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 במרץ 2016 |
הפגיעות של העלאת הרשאות בתת-מערכת ביצועי ליבה
העלאת פגיעויות הרשאות בתת-מערכת ביצועי הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה בגלל משטח ההתקפה של הליבה שזמין לתוקפים לניצול.
הערה: זהו עדכון ברמת הפלטפורמה שנועד לצמצם סוג של פגיעויות כגון CVE-2016-3843 (A-28086229).
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | גָבוֹהַ | הכל Nexus | 6.0, 6.1 | Google פנימי |
* תיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במטען האתחול של LG Electronics
הפגיעות של העלאת הרשאות במטען האתחול של LG Electronics עלולה לאפשר לתוקף לבצע קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | גָבוֹהַ | Nexus 5X | Google פנימי |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע ברכיבי קוואלקום
הטבלה שלהלן מכילה פרצות אבטחה המשפיעות על רכיבי קוואלקום, הכוללות פוטנציאל את טוען האתחול, מנהל ההתקן של המצלמה, מנהל ההתקן של התווים, הרשת, מנהל ההתקן הקול ומנהל ההתקן של הווידאו.
הבעיות החמורות ביותר מדורגות כגבוהות בשל האפשרות שאפליקציה זדונית מקומית יכולה לגשת לנתונים מחוץ לרמות ההרשאה שלה, כגון נתונים רגישים ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | גָבוֹהַ | Nexus 5, Nexus 7 (2013) | 2 ביוני 2014 |
| CVE-2015-8944 | A-28814213 | גָבוֹהַ | Nexus 6, Nexus 7 (2013) | 30 באפריל, 2015 |
| CVE-2014-9893 | א-28747914 | לְמַתֵן | נקסוס 5 | 27 במרץ 2014 |
| CVE-2014-9894 | A-28749708 | לְמַתֵן | Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9895 | A-28750150 | לְמַתֵן | Nexus 5, Nexus 7 (2013) | 31 במרץ 2014 |
| CVE-2014-9896 | A-28767593 | לְמַתֵן | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9897 | A-28769856 | לְמַתֵן | נקסוס 5 | 30 באפריל, 2014 |
| CVE-2014-9898 | A-28814690 | לְמַתֵן | Nexus 5, Nexus 7 (2013) | 30 באפריל, 2014 |
| CVE-2014-9899 | A-28803909 | לְמַתֵן | נקסוס 5 | 3 ביולי 2014 |
| CVE-2014-9900 | A-28803952 | לְמַתֵן | Nexus 5, Nexus 7 (2013) | 8 באוגוסט 2014 |
פגיעות של חשיפת מידע בתזמון ליבה
פגיעות של חשיפת מידע במתזמן הליבה עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | גָבוֹהַ | Nexus 5X, Nexus 6P | 21 בפברואר 2014 |
פגיעות של חשיפת מידע במנהל התקן Wi-Fi של MediaTek (ספציפי למכשיר)
פגיעות של חשיפת מידע במנהל ההתקן של MediaTek Wi-Fi עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147* M-ALPS02751738 | גָבוֹהַ | Android One | 12 באפריל, 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע במנהל התקן USB
פגיעות של חשיפת מידע במנהל ההתקן של ה-USB עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | גָבוֹהַ | הכל Nexus | 3 במאי 2016 |
פגיעות מניעת שירות ברכיבי קוואלקום
הטבלה שלהלן מכילה פרצות אבטחה המשפיעות על רכיבי קוואלקום, כולל פוטנציאל מנהל התקן Wi-Fi.
הבעיות החמורות ביותר מדורגות כגבוהות בשל האפשרות שתוקף עלול לגרום למניעת שירות זמני מרחוק וכתוצאה מכך לתלות במכשיר או לאתחול מחדש.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | גָבוֹהַ | Nexus 7 (2013) | 31 במרץ 2014 |
הפגיעות של העלאת הרשאות בשירותי Google Play
הפגיעות של העלאת הרשאות בשירותי Google Play עלולה לאפשר לתוקף מקומי לעקוף את הגנת איפוס היצרן ולקבל גישה למכשיר. זה מדורג כבינוני בשל האפשרות לעקוף את הגנת איפוס היצרן, מה שעלול להוביל לאיפוס מוצלח של המכשיר ולמחיקת כל הנתונים שלו.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | לְמַתֵן | הכל Nexus | אף אחד | 4 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות בממשקי API של Framework
הפגיעות של העלאת הרשאות בממשקי ה-API של Framework עלולה לאפשר לאפליקציה המותקנת מראש להגביר את עדיפות סינון הכוונות שלה כאשר האפליקציה מתעדכנת מבלי שהמשתמש יקבל הודעה. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי להשיג יכולות מוגברות ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google פנימי |
פגיעות של חשיפת מידע ברכיב רשת ליבה
פגיעות של חשיפת מידע ברכיב רשת הליבה עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | לְמַתֵן | הכל Nexus | 3 במאי 2016 |
פגיעות של חשיפת מידע ברכיב סאונד ליבה
פגיעות של חשיפת מידע ברכיב הצליל של הליבה עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | לְמַתֵן | הכל Nexus | 9 במאי 2016 |
| CVE-2016-4578 | A-28980217 קרנל במעלה הזרם [ 2 ] | לְמַתֵן | הכל Nexus | 11 במאי 2016 |
פגיעויות ברכיבי קוואלקום
הטבלה שלהלן מכילה פגיעויות אבטחה המשפיעות על רכיבי Qualcomm, שעלולים לכלול את מטען האתחול, מנהל התקן המצלמה, מנהל התקן התווים, הרשת, מנהל התקן הקול ומנהל התקן הווידיאו.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך מדווח |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | גָבוֹהַ | אף אחד | פברואר 2016 |
| CVE-2016-3855 | QC-CR#990824 | גָבוֹהַ | אף אחד | מאי 2016 |
| CVE-2016-2060 | QC-CR#959631 | לְמַתֵן | אף אחד | אפריל 2016 |
שאלות ותשובות נפוצות
סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?
רמות תיקון אבטחה של 2016-08-01 ואילך מטפלות בכל הנושאים הקשורים לרמת מחרוזת תיקון האבטחה 2016-08-01. רמות תיקון אבטחה של 2016-08-05 ואילך מטפלות בכל הנושאים הקשורים לרמת מחרוזת תיקון האבטחה 2016-08-05. עיין במרכז העזרה לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]: [2016-08-01] או [ro.build.version.security_patch]: [2016-08-05].
2. מדוע עלון זה יש שני מחרוזות ברמת תיקון אבטחה?
עלון זה כולל שני מיתרי רמת טלאי אבטחה על מנת לספק לשותפי אנדרואיד את הגמישות לנוע במהירות רבה יותר כדי לתקן תת קבוצה של פגיעויות הדומות בכל מכשירי אנדרואיד. שותפי אנדרואיד מעודדים לתקן את כל הבעיות בעלון זה ולהשתמש במחרוזת רמת האבטחה האחרונה.
מכשירים המשתמשים ברמת תיקון האבטחה של 5 באוגוסט 2016 או חדשים יותר חייבים לכלול את כל הטלאים הרלוונטיים בעלוני האבטחה (ובקודם).
מכשירים המשתמשים ברמת תיקון האבטחה של 1 באוגוסט 2016 חייבים לכלול את כל הנושאים הקשורים לרמת תיקון אבטחה זו, כמו גם תיקונים לכל הנושאים המדווחים בעלוני אבטחה קודמים. מכשירים המשתמשים ב -1 באוגוסט 2016 רמת תיקון האבטחה עשויים לכלול גם תת קבוצה של תיקונים הקשורים לרמת תיקון האבטחה של 5 באוגוסט 2016.
3 . כיצד אוכל לקבוע אילו מכשירי Nexus מושפעים מכל בעיה?
בסעיפי פרטי האבטחה 2016-08-01 ו- 2016-08-05 , לכל טבלה יש עמוד מעודכן של התקני Nexus המכסה את מגוון מכשירי ה- Nexus המושפעים המעודכנים עבור כל בעיה. בעמודה זו יש כמה אפשרויות:
- כל התקני Nexus : אם בעיה משפיעה על כל מכשירי Nexus, לטבלה תהיה "כל Nexus" בעמודה המעודכנת של מכשירי Nexus . "כל הנקסוס" מכסה את המכשירים הנתמכים הבאים: Nexus 5, Nexus 5x, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ו- Pixel C.
- כמה מכשירי Nexus : אם בעיה אינה משפיעה על כל התקני Nexus, התקני Nexus המושפעים מופיעים בעמודה המעודכנת של התקני Nexus .
- אין מכשירי Nexus : אם אין התקני Nexus מושפעים מהבעיה, לטבלה תהיה "אין" בעמודה המעודכנת של מכשירי Nexus .
4. אלם מפת הערכים במפת העמודות ההפניות?
ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה. קידומות אלה מפה כדלקמן:
| קידומת | התייחסות |
|---|---|
| א- | מזהה באג אנדרואיד |
| QC- | מספר סימוכין של קוואלקום |
| M- | מספר סימוכין של MediaTek |
| נ- | מספר סימוכין של NVIDIA |
תיקונים
- 01 באוגוסט 2016: עלון פורסם.
- 02 באוגוסט 2016: עלון מתוקן לכלול קישורי AOSP.
- 16 באוגוסט 2016: CVE-2016-3856 תוקן ל- CVE-2016-2060 ועדכן את כתובת האתר ההתייחסות.
- 21 באוקטובר 2016: הקלדה מתוקנת ב- CVE-2016-4486.