Diterbitkan 01 Agustus 2016 | Diperbarui 21 Oktober 2016
Buletin Keamanan Android berisi rincian kerentanan keamanan yang memengaruhi perangkat Android. Bersamaan dengan buletin ini, kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA). Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Tingkat Patch Keamanan tanggal 5 Agustus 2016 atau lebih baru mengatasi masalah ini. Lihat dokumentasi untuk mempelajari cara memeriksa tingkat patch keamanan.
Mitra telah diberitahu tentang masalah yang dijelaskan dalam buletin pada tanggal 06 Juli 2016 atau sebelumnya. Jika memungkinkan, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP). Buletin ini juga menyertakan link ke patch di luar AOSP.
Masalah yang paling parah adalah kerentanan keamanan Kritis yang memungkinkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui berbagai metode seperti email, penjelajahan web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada dampak eksploitasi kerentanan pada perangkat yang terkena dampak, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.
Kami belum menerima laporan mengenai eksploitasi pelanggan aktif atau penyalahgunaan masalah yang baru dilaporkan ini. Lihat bagian mitigasi layanan Android dan Google untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Kami mendorong semua pelanggan untuk menerima pembaruan ini pada perangkat mereka.
Pengumuman
- Buletin direvisi untuk mengoreksi CVE-2016-3856 menjadi CVE-2016-2060.
- Buletin ini memiliki dua string tingkat patch keamanan untuk memberikan fleksibilitas kepada mitra Android untuk bergerak lebih cepat guna memperbaiki subset kerentanan yang serupa di semua perangkat Android. Lihat Pertanyaan dan jawaban umum untuk informasi tambahan:
- 01-08-2016 : String tingkat patch keamanan parsial. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-08-2016 (dan semua string tingkat patch keamanan sebelumnya) telah diatasi.
- 05-08-2016 : String tingkat patch keamanan lengkap. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-08-2016 dan 05-08-2016 (dan semua string tingkat patch keamanan sebelumnya) telah diatasi.
- Perangkat Nexus yang didukung akan menerima pembaruan OTA tunggal dengan tingkat patch keamanan 05 Agustus 2016.
Mitigasi layanan Android dan Google
Ini adalah ringkasan mitigasi yang diberikan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi banyak masalah di Android menjadi lebih sulit dengan penyempurnaan pada platform Android versi terbaru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
- Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet , yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan . Verifikasi Aplikasi diaktifkan secara default pada perangkat dengan Layanan Seluler Google , dan ini sangat penting bagi pengguna yang memasang aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, namun Verify Apps memperingatkan pengguna saat mereka mencoba memasang aplikasi rooting yang terdeteksi—tidak peduli dari mana asalnya. Selain itu, Verifikasi Aplikasi berupaya mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui mengeksploitasi kerentanan peningkatan hak istimewa. Jika aplikasi tersebut telah diinstal, Verifikasi Aplikasi akan memberi tahu pengguna dan berupaya menghapus aplikasi yang terdeteksi.
- Jika perlu, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti Server Media.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti atas kontribusi mereka:
- Abhishek Arya, Oliver Chang, dan Martin Barbella dari Tim Keamanan Google Chrome: CVE-2016-3821, CVE-2016-3837
- Adam Donenfeld dkk. dari Check Point Software Technologies Ltd.: CVE-2016-2504
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-3844
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com) , dan Xuxian Jiang dari Tim C0RE : CVE-2016-3857
- David Benjamin dan Kenny Root dari Google: CVE-2016-3840
- Dawei Peng ( Vinc3nt4H ) dari Tim Keamanan Seluler Alibaba : CVE-2016-3822
- Di Shen ( @returnsme ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-3842
- Dianne Hackborn dari Google: CVE-2016-2497
- Dmitry Vyukov dari tim Alat Dinamis Google: CVE-2016-3841
- Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) dari IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-3852
- Guang Gong (龚广) ( @oldfresher ) dari Tim Alpha, Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
- Kai Lu ( @K3vinLuSec ) dari FortiGuard Labs Fortinet: CVE-2016-3820
- Kandala Shivaram reddy, DS, dan Uppi: CVE-2016-3826
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Nathan Crandall ( @natecray ) dari Tim Keamanan Produk Tesla Motors: CVE-2016-3847, CVE-2016-3848
- Peng Xiao, Chengming Yang, Ning You, Chao Yang, dan Yang lagu dari Grup Keamanan Seluler Alibaba: CVE-2016-3845
- Peter Pi ( @heisecode ) dari Trend Micro: CVE-2016-3849
- Qianwei Hu ( rayxcp@gmail.com ) dari WooYun TangLab : CVE-2016-3846
- Qidan He ( @flanker_hqd ) dari KeenLab ( @keen_lab ), Tencent: CVE-2016-3832
- Sharvil Nanavati dari Google: CVE-2016-3839
- Shinjo Park ( @ad_ili_rai ) dan Altaf Shaik dari Keamanan Telekomunikasi : CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Vasily Vasiliev: CVE-2016-3819
- Weichao Sun ( @sunblate ) dari Alibaba Inc.: CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Wish Wu (吴潍浠) ( @wish_wu ) dari Trend Micro Inc .: CVE-2016-3843
- Yongke Wang ( @Rudykewang ) dari Tencent's Xuanwu LAB: CVE-2016-3836
Kami ingin mengucapkan terima kasih kepada Daniel Micay dari Copperhead Security, Jeff Vander Stoep, dan Yabin Cui dari Google atas kontribusi mereka dalam pembaruan tingkat platform guna memitigasi kelas kerentanan seperti CVE-2016-3843. Mitigasi ini didasarkan pada upaya Brad Spengler dari Grsecurity.
Tingkat patch keamanan 01-08-2016—Rincian kerentanan keamanan
Pada bagian di bawah ini, kami memberikan rincian untuk masing-masing kerentanan keamanan yang berlaku pada tingkat patch 01-08-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal pelaporan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Ketika beberapa perubahan berhubungan dengan satu bug, referensi tambahan ditautkan ke nomor setelah ID bug.
Kerentanan eksekusi kode jarak jauh di Mediaserver
Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama pemrosesan file media dan data. Masalah ini dinilai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Server Media. Proses Mediaserver memiliki akses ke streaming audio dan video, serta akses ke hak istimewa yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
Fungsionalitas yang terpengaruh disediakan sebagai bagian inti dari sistem operasi dan terdapat beberapa aplikasi yang memungkinkannya dijangkau dengan konten jarak jauh, terutama MMS dan pemutaran media di browser.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mei 2016 |
| CVE-2016-3820 | A-28673410 | Kritis | Semua Nexus | 6.0, 6.0.1 | 6 Mei 2016 |
| CVE-2016-3821 | A-28166152 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Kerentanan eksekusi kode jarak jauh di libjhead
Kerentanan eksekusi kode jarak jauh di libjhead dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk mengeksekusi kode arbitrer dalam konteks proses yang tidak memiliki hak istimewa. Masalah ini dinilai Tinggi karena kemungkinan eksekusi kode jarak jauh dalam aplikasi yang menggunakan perpustakaan ini.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Peningkatan kerentanan hak istimewa di Mediaserver
Peningkatan kerentanan hak istimewa di Mediaserver dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks proses yang memiliki hak istimewa. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mei 2016 |
| CVE-2016-3824 | A-28816827 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mei 2016 |
| CVE-2016-3825 | A-28816964 | Tinggi | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mei 2016 |
| CVE-2016-3826 | A-29251553 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Juni 2016 |
Kerentanan penolakan layanan di Mediaserver
Kerentanan penolakan layanan di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh untuk sementara.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | Tinggi | Semua Nexus | 6.0.1 | 16 Mei 2016 |
| CVE-2016-3828 | A-28835995 | Tinggi | Semua Nexus | 6.0, 6.0.1 | 17 Mei 2016 |
| CVE-2016-3829 | A-29023649 | Tinggi | Semua Nexus | 6.0, 6.0.1 | 27 Mei 2016 |
| CVE-2016-3830 | A-29153599 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Kerentanan penolakan layanan di jam sistem
Kerentanan penolakan layanan di jam sistem dapat memungkinkan penyerang jarak jauh merusak perangkat. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh untuk sementara.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 Mei 2016 |
Peningkatan kerentanan hak istimewa dalam API kerangka kerja
Peningkatan kerentanan hak istimewa dalam API kerangka kerja dapat memungkinkan aplikasi jahat lokal melewati perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain. Masalah ini dinilai Sedang karena dapat digunakan untuk mendapatkan akses ke data yang berada di luar tingkat izin aplikasi.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 Mei 2016 |
Peningkatan kerentanan hak istimewa di Shell
Peningkatan hak istimewa di Shell dapat memungkinkan aplikasi jahat lokal melewati batasan perangkat seperti batasan pengguna. Masalah ini dinilai sebagai Sedang karena merupakan pengabaian izin pengguna secara lokal.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [ 2 ] | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Kerentanan pengungkapan informasi di OpenSSL
Kerentanan pengungkapan informasi di OpenSSL dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | Tidak ada* | Semua Nexus | 4.4.4, 5.0.2, 5.1.1 | 29 Maret 2016 |
* Perangkat Nexus yang didukung dan telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini
Kerentanan pengungkapan informasi di API kamera
Kerentanan pengungkapan informasi di API kamera dapat memungkinkan aplikasi jahat lokal mengakses struktur data di luar tingkat izinnya. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 April 2016 |
Kerentanan pengungkapan informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Mei 2016 |
Kerentanan pengungkapan informasi di SurfaceFlinger
Kerentanan pengungkapan informasi di layanan SurfaceFlinger dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna secara eksplisit.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 Mei 2016 |
Kerentanan pengungkapan informasi di Wi-Fi
Kerentanan pengungkapan informasi di Wi-Fi dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini berperingkat Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Kerentanan penolakan layanan di UI sistem
Kerentanan penolakan layanan di UI sistem dapat memungkinkan aplikasi jahat lokal mencegah panggilan 911 dari layar terkunci. Masalah ini dinilai Sedang karena kemungkinan penolakan layanan pada fungsi kritis.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | Sedang | Semua Nexus | 6.0, 6.0.1 | internal Google |
Kerentanan penolakan layanan di Bluetooth
Kerentanan penolakan layanan di Bluetooth dapat memungkinkan aplikasi jahat lokal mencegah panggilan 911 dari perangkat Bluetooth. Masalah ini dinilai Sedang karena kemungkinan penolakan layanan pada fungsi kritis.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Tingkat patch keamanan 08-08-2016—Rincian kerentanan
Pada bagian di bawah ini, kami memberikan rincian untuk masing-masing kerentanan keamanan yang berlaku pada tingkat patch 05-08-2016. Terdapat deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal pelaporan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Ketika beberapa perubahan berhubungan dengan satu bug, referensi tambahan ditautkan ke nomor setelah ID bug.
Kerentanan eksekusi kode jarak jauh pada driver Qualcomm Wi-Fi
Kerentanan eksekusi kode jarak jauh pada driver Wi-Fi Qualcomm dapat memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan penyusupan perangkat permanen lokal.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | Kritis | Perhubungan 7 (2013) | 31 Maret 2014 |
Kerentanan eksekusi kode jarak jauh di Conscrypt
Kerentanan eksekusi kode jarak jauh di Conscrypt dapat memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer dalam konteks proses yang memiliki hak istimewa. Masalah ini dinilai Kritis karena kemungkinan eksekusi kode jarak jauh.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Peningkatan kerentanan hak istimewa pada komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, termasuk bootloader, driver kamera, drive karakter, jaringan, driver suara, dan driver video.
Masalah yang paling parah dinilai sebagai Kritis karena kemungkinan bahwa aplikasi jahat lokal dapat mengeksekusi kode arbitrer dalam konteks kernel yang menyebabkan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | Kritis | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9864 | A-28747998 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 27 Maret 2014 |
| CVE-2014-9865 | A-28748271 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 27 Maret 2014 |
| CVE-2014-9866 | A-28747684 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9867 | A-28749629 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9868 | A-28749721 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9869 | A-28749728 QC-CR#514711 [ 2 ] | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9870 | A-28749743 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9871 | A-28749803 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9872 | A-28750155 | Tinggi | Nexus 5 | 31 Maret 2014 |
| CVE-2014-9873 | A-28750726 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9874 | A-28751152 | Tinggi | Perhubungan 5, Perhubungan 5X, Perhubungan 6P, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9875 | A-28767589 | Tinggi | Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9876 | A-28767796 | Tinggi | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9877 | A-28768281 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9878 | A-28769208 | Tinggi | Nexus 5 | 30 April 2014 |
| CVE-2014-9879 | A-28769221 | Tinggi | Nexus 5 | 30 April 2014 |
| CVE-2014-9880 | A-28769352 | Tinggi | Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9881 | A-28769368 | Tinggi | Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9882 | A-28769546 QC-CR#552329 [ 2 ] | Tinggi | Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9883 | A-28769912 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9884 | A-28769920 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9885 | A-28769959 | Tinggi | Nexus 5 | 30 April 2014 |
| CVE-2014-9886 | A-28815575 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9887 | A-28804057 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 3 Juli 2014 |
| CVE-2014-9888 | A-28803642 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 29 Agustus 2014 |
| CVE-2014-9889 | A-28803645 | Tinggi | Nexus 5 | 31 Oktober 2014 |
| CVE-2015-8937 | A-28803962 | Tinggi | Perhubungan 5, Perhubungan 6, Perhubungan 7 (2013) | 31 Maret 2015 |
| CVE-2015-8938 | A-28804030 | Tinggi | Perhubungan 6 | 31 Maret 2015 |
| CVE-2015-8939 | A-28398884 | Tinggi | Perhubungan 7 (2013) | 30 April 2015 |
| CVE-2015-8940 | A-28813987 | Tinggi | Perhubungan 6 | 30 April 2015 |
| CVE-2015-8941 | A-28814502 | Tinggi | Perhubungan 6, Perhubungan 7 (2013) | 29 Mei 2015 |
| CVE-2015-8942 | A-28814652 | Tinggi | Perhubungan 6 | 30 Juni 2015 |
| CVE-2015-8943 | A-28815158 | Tinggi | Nexus 5 | 11 September 2015 |
| CVE-2014-9891 | A-28749283 | Sedang | Nexus 5 | 13 Maret 2014 |
| CVE-2014-9890 | A-28770207 | Sedang | Perhubungan 5, Perhubungan 7 (2013) | 2 Juni 2014 |
Peningkatan kerentanan hak istimewa dalam komponen jaringan kernel
Peningkatan kerentanan hak istimewa dalam komponen jaringan kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | Kritis | Semua Nexus | 23 Maret 2015 |
| CVE-2016-3841 | A-28746669 | Kritis | Semua Nexus | 3 Desember 2015 |
Peningkatan kerentanan hak istimewa pada driver GPU Qualcomm
Peningkatan kerentanan hak istimewa pada driver GPU Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365 QC-CR#1002974 | Kritis | Perhubungan 5, Perhubungan 5X, Perhubungan 6, Perhubungan 6P, Perhubungan 7 (2013) | 5 April 2016 |
| CVE-2016-3842 | A-28377352 QC-CR#1002974 | Kritis | Perhubungan 5X, Perhubungan 6, Perhubungan 6P | 25 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa dalam komponen kinerja Qualcomm
Peningkatan kerentanan hak istimewa dalam komponen kinerja Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
Catatan: Ada juga pembaruan tingkat platform dalam buletin ini di bawah A-29119870 yang dirancang untuk mengurangi kelas kerentanan ini.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229* QC-CR#1011071 | Kritis | Perhubungan 5X, Perhubungan 6P | 7 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di kernel
Peningkatan kerentanan hak istimewa di kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Kritis karena kemungkinan kerusakan perangkat permanen lokal, yang mungkin memerlukan flashing ulang sistem operasi untuk memperbaiki perangkat.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | Kritis | Perhubungan 7 (2013) | 2 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa dalam sistem memori kernel
Peningkatan kerentanan hak istimewa dalam sistem memori kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | Tinggi | Pemain Nexus | 13 Februari 2015 |
| CVE-2016-3672 | A-28763575 | Tinggi | Pemain Nexus | 25 Maret 2016 |
Peningkatan kerentanan hak istimewa dalam komponen suara kernel
Peningkatan kerentanan hak istimewa dalam komponen suara kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | Tinggi | Semua Nexus | 19 Januari 2016 |
| CVE-2016-2546 | A-28694392 | Tinggi | Piksel C | 19 Januari 2016 |
| CVE-2014-9904 | A-28592007 | Tinggi | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pemain Nexus | 4 Mei 2016 |
Peningkatan kerentanan hak istimewa dalam sistem file kernel
Peningkatan kerentanan hak istimewa dalam sistem file kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 2 Maret 2016 |
Peningkatan kerentanan hak istimewa di Mediaserver
Peningkatan kerentanan hak istimewa di Mediaserver dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks proses yang memiliki hak istimewa. Masalah ini dinilai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, yang tidak dapat diakses oleh aplikasi pihak ketiga.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517* N-CVE-2016-3844 | Tinggi | Nexus 9, Piksel C | 19 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver video kernel
Peningkatan kerentanan hak istimewa pada driver video kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | Tinggi | Nexus 5 | 20 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver Serial Peripheral Interface
Peningkatan kerentanan hak istimewa pada driver Serial Peripheral Interface dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | Tinggi | Perhubungan 5X, Perhubungan 6P | 17 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver media NVIDIA
Peningkatan kerentanan hak istimewa pada driver media NVIDIA dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433* N-CVE-2016-3847 | Tinggi | Perhubungan 9 | 19 Mei 2016 |
| CVE-2016-3848 | A-28919417* N-CVE-2016-3848 | Tinggi | Perhubungan 9 | 19 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa pada driver ION
Peningkatan kerentanan hak istimewa pada driver ION dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | Tinggi | Piksel C | 24 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di bootloader Qualcomm
Peningkatan kerentanan hak istimewa di bootloader Qualcomm dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | Tinggi | Perhubungan 5, Perhubungan 5X, Perhubungan 6P, Perhubungan 7 (2013) | 28 Maret 2016 |
Peningkatan kerentanan hak istimewa dalam subsistem kinerja kernel
Peningkatan kerentanan hak istimewa dalam subsistem kinerja kernel dapat memungkinkan aplikasi jahat lokal mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena permukaan serangan kernel tersedia untuk dieksploitasi oleh penyerang.
Catatan: Ini adalah pembaruan tingkat platform yang dirancang untuk memitigasi kelas kerentanan seperti CVE-2016-3843 (A-28086229).
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | Tinggi | Semua Nexus | 6.0, 6.1 | internal Google |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di bootloader LG Electronics
Peningkatan kerentanan hak istimewa di bootloader LG Electronics dapat memungkinkan penyerang mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai Tinggi karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | Tinggi | Perhubungan 5X | internal Google |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi pada komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, termasuk bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.
Masalah yang paling parah diberi peringkat Tinggi karena kemungkinan aplikasi jahat lokal dapat mengakses data di luar tingkat izinnya, misalnya data sensitif, tanpa izin pengguna yang jelas.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | Tinggi | Perhubungan 5, Perhubungan 7 (2013) | 2 Juni 2014 |
| CVE-2015-8944 | A-28814213 | Tinggi | Perhubungan 6, Perhubungan 7 (2013) | 30 April 2015 |
| CVE-2014-9893 | A-28747914 | Sedang | Nexus 5 | 27 Maret 2014 |
| CVE-2014-9894 | A-28749708 | Sedang | Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9895 | A-28750150 | Sedang | Perhubungan 5, Perhubungan 7 (2013) | 31 Maret 2014 |
| CVE-2014-9896 | A-28767593 | Sedang | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9897 | A-28769856 | Sedang | Nexus 5 | 30 April 2014 |
| CVE-2014-9898 | A-28814690 | Sedang | Perhubungan 5, Perhubungan 7 (2013) | 30 April 2014 |
| CVE-2014-9899 | A-28803909 | Sedang | Nexus 5 | 3 Juli 2014 |
| CVE-2014-9900 | A-28803952 | Sedang | Perhubungan 5, Perhubungan 7 (2013) | 8 Agustus 2014 |
Kerentanan pengungkapan informasi dalam penjadwal kernel
Kerentanan pengungkapan informasi di penjadwal kernel dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna secara eksplisit.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | Tinggi | Perhubungan 5X, Perhubungan 6P | 21 Februari 2014 |
Kerentanan pengungkapan informasi pada driver Wi-Fi MediaTek (khusus perangkat)
Kerentanan pengungkapan informasi pada driver Wi-Fi MediaTek dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna secara eksplisit.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147* M-ALPS02751738 | Tinggi | Android Satu | 12 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi pada driver USB
Kerentanan pengungkapan informasi pada driver USB dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai Tinggi karena dapat digunakan untuk mengakses data sensitif tanpa izin pengguna secara eksplisit.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | Tinggi | Semua Nexus | 3 Mei 2016 |
Kerentanan penolakan layanan di komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, mungkin termasuk driver Wi-Fi.
Masalah yang paling parah dinilai sebagai Tinggi karena kemungkinan penyerang dapat menyebabkan penolakan layanan jarak jauh sementara yang mengakibatkan perangkat hang atau reboot.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | Tinggi | Perhubungan 7 (2013) | 31 Maret 2014 |
Peningkatan kerentanan hak istimewa di layanan Google Play
Peningkatan kerentanan hak istimewa di layanan Google Play dapat memungkinkan penyerang lokal melewati Perlindungan Penyetelan Ulang Pabrik dan mendapatkan akses ke perangkat. Ini dinilai sebagai Sedang karena kemungkinan melewati Perlindungan Penyetelan Ulang Pabrik, yang dapat mengakibatkan penyetelan ulang perangkat berhasil dan menghapus semua datanya.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | Sedang | Semua Nexus | Tidak ada | 4 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di Framework API
Peningkatan kerentanan hak istimewa dalam API kerangka kerja dapat memungkinkan aplikasi pra-instal meningkatkan prioritas filter maksudnya ketika aplikasi sedang diperbarui tanpa pemberitahuan kepada pengguna. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan kemampuan yang lebih tinggi tanpa izin pengguna yang jelas.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
Kerentanan pengungkapan informasi pada komponen jaringan kernel
Kerentanan pengungkapan informasi dalam komponen jaringan kernel dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | Sedang | Semua Nexus | 3 Mei 2016 |
Kerentanan pengungkapan informasi pada komponen suara kernel
Kerentanan pengungkapan informasi dalam komponen suara kernel dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena memerlukan kompromi pada proses istimewa terlebih dahulu.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | Sedang | Semua Nexus | 9 Mei 2016 |
| CVE-2016-4578 | A-28980217 Kernel hulu [ 2 ] | Sedang | Semua Nexus | 11 Mei 2016 |
Kerentanan pada komponen Qualcomm
Tabel di bawah berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, termasuk bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.
| CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | Tinggi | Tidak ada | Februari 2016 |
| CVE-2016-3855 | QC-CR#990824 | Tinggi | Tidak ada | Mei 2016 |
| CVE-2016-2060 | QC-CR#959631 | Sedang | Tidak ada | April 2016 |
Pertanyaan dan Jawaban Umum
Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca buletin ini.
1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?
Tingkat Patch Keamanan 01-08-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 01-08-2016. Tingkat Patch Keamanan 05-08-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string patch keamanan 05-08-2016. Lihat pusat bantuan untuk petunjuk tentang cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan pembaruan ini harus menyetel tingkat string patch ke: [ro.build.version.security_patch]:[01-08-2016] atau [ro.build.version.security_patch]:[05-08-2016].
2. Mengapa buletin ini memiliki dua rangkaian tingkat patch keamanan?
Buletin ini memiliki dua string tingkat patch keamanan untuk memberikan fleksibilitas kepada mitra Android untuk bergerak lebih cepat guna memperbaiki subset kerentanan yang serupa di semua perangkat Android. Mitra Android dianjurkan untuk memperbaiki semua masalah dalam buletin ini dan menggunakan string tingkat patch keamanan terbaru.
Perangkat yang menggunakan tingkat patch keamanan tanggal 5 Agustus 2016 atau yang lebih baru harus menyertakan semua patch yang berlaku dalam buletin keamanan ini (dan sebelumnya).
Perangkat yang menggunakan tingkat patch keamanan 1 Agustus 2016 harus mencakup semua masalah yang terkait dengan tingkat patch keamanan tersebut, serta perbaikan untuk semua masalah yang dilaporkan dalam buletin keamanan sebelumnya. Perangkat yang menggunakan tingkat patch keamanan 1 Agustus 2016 mungkin juga menyertakan subset perbaikan yang terkait dengan tingkat patch keamanan 5 Agustus 2016.
3 . Bagaimana cara menentukan perangkat Nexus mana yang terpengaruh oleh setiap masalah?
Di bagian rincian kerentanan keamanan 2016-08-01 dan 2016-08-05 , setiap tabel memiliki kolom Perangkat Nexus yang Diperbarui yang mencakup rentang perangkat Nexus yang terpengaruh yang diperbarui untuk setiap masalah. Kolom ini memiliki beberapa opsi:
- Semua perangkat Nexus : Jika masalah memengaruhi semua perangkat Nexus, tabel akan menampilkan “Semua Nexus” di kolom Perangkat Nexus yang Diperbarui . “Semua Nexus” merangkum perangkat yang didukung berikut: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, dan Pixel C.
- Beberapa perangkat Nexus : Jika masalah tidak memengaruhi semua perangkat Nexus, perangkat Nexus yang terpengaruh akan dicantumkan di kolom Perangkat Nexus yang Diperbarui .
- Tidak ada perangkat Nexus : Jika tidak ada perangkat Nexus yang terpengaruh oleh masalah ini, tabel akan menampilkan “Tidak Ada” di kolom Perangkat Nexus yang Diperbarui .
4. Entri di kolom referensi dipetakan ke arah apa?
Entri di kolom Referensi pada tabel detail kerentanan mungkin berisi awalan yang mengidentifikasi organisasi tempat nilai referensi tersebut berada. Awalan ini dipetakan sebagai berikut:
| Awalan | Referensi |
|---|---|
| A- | ID bug Android |
| QC- | Nomor referensi Qualcomm |
| M- | Nomor referensi MediaTek |
| N- | Nomor referensi NVIDIA |
Revisi
- 01 Agustus 2016: Buletin diterbitkan.
- 02 Agustus 2016: Buletin direvisi untuk menyertakan tautan AOSP.
- 16 Agustus 2016: CVE-2016-3856 dikoreksi menjadi CVE-2016-2060 dan memperbarui URL referensi.
- 21 Oktober 2016: Kesalahan ketik diperbaiki di CVE-2016-4486.