פורסם ב-03 באוקטובר 2016 | עודכן ב-4 באוקטובר 2016
עלון האבטחה של אנדרואיד מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד. לצד העלון, פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אוויר (OTA). תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 5 באוקטובר 2016 או מאוחר יותר מטפלות בבעיות אלה. עיין בתיעוד כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה. מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 5 באוקטובר 2016.
שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-06 בספטמבר 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP). עלון זה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
הבעיות החמורות ביותר הן פרצות אבטחה קריטיות בקוד ספציפי למכשיר שעלולות לאפשר ביצוע קוד מרחוק בהקשר של הליבה, מה שמוביל לאפשרות של פגיעה מקומית קבועה במכשיר, מה שעלול לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר . הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף הפחתת השירותים של אנדרואיד וגוגל לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet , המשפרות את האבטחה של פלטפורמת אנדרואיד.
אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
הכרזות
- בעלון זה כולל שתי מחרוזות ברמת תיקון אבטחה כדי לספק לשותפים של Android את הגמישות לתקן במהירות רבה יותר תת-קבוצה של פגיעויות הדומות בכל מכשירי Android. ראה שאלות ותשובות נפוצות למידע נוסף:
- 2016-10-01 : מחרוזת רמת תיקון אבטחה חלקית. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-10-01 (וכל מחרוזות רמת תיקון האבטחה הקודמות) מטופלות.
- 2016-10-05 : השלם מחרוזת רמת תיקון האבטחה. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-10-01 ו-2016-10-05 (וכל המחרוזות הקודמות ברמת תיקון האבטחה) מטופלות.
- מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 5 באוקטובר 2016.
הפחתות שירותי אנדרואיד וגוגל
זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet , שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק . אימות אפליקציות מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון Mediaserver.
תודות
ברצוננו להודות לחוקרים אלו על תרומתם:
- אנדרה טייקסירה ריזו: CVE-2016-3882
- אנדריאה ביונדו: CVE-2016-3921
- Daniel Micay מ-Copperhead Security: CVE-2016-3922
- דמיטרי ויוקוב מגוגל: CVE-2016-7117
- dosomder: CVE-2016-3931
- Ecular Xu (徐健) של Trend Micro: CVE-2016-3920
- Gengjia Chen ( @chengjia4574 ) ו- pjf ממעבדת IceSword, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-390516
- Hang Zhang , Dongdong She , ו- Zhiyun Qian מ-UC Riverside: CVE-2015-8950
- Hao Chen מ- Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- Jann Horn מ-Google Project Zero: CVE-2016-3900, CVE-2016-3885
- ג'ייסון רוג'נה : CVE-2016-3917
- Jianqiang Zhao ( @jianqiangzhao ) ו- pjf של IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-62016, CVE-62016, CVE-62016, CVE-62016 , CVE-2016-6682, CVE-2016-3930
- ג'ושוע דרייק ( @jduck ): CVE-2016-3920
- Maciej Szawłowski מצוות האבטחה של Google: CVE-2016-3905
- Mark Brand של Google Project Zero: CVE-2016-6689
- מיכאל בדנרסקי : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3933, CVE-2016-3932
- Nightwatch Cybersecurity Research ( @nightwatchcyber ): CVE-2016-5348
- Roee Hay, IBM Security X-Force חוקר: CVE-2016-6678
- סמואל טאן מגוגל: CVE-2016-3925
- סקוט באואר ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Seven Shen ( @lingtongshen ) מצוות המחקר של Trend Micro Mobile Threat: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016,-6 CVE-2016-6694, CVE-2016-6695
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3909
- Wenlin Yang ו-Guang Gong (龚广) ( @oldfresher ) מ-Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Wish Wu (吴潍浠) ( @wish_wu) של Trend Micro Inc. : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- יונג שי מצוות Eagleye, SCC, Huawei: CVE-2016-3938
- Zhanpeng Zhao (行之) ( @0xr0ot ) ממעבדת מחקר אבטחה, צ'יטה נייד : CVE-2016-3908
רמת תיקון אבטחה 2016-10-01—פרטי פגיעות
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-10-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
הפגיעות של העלאת הרשאות ב-ServiceManager
העלאת הרשאות ב-ServiceManager יכולה לאפשר לאפליקציה זדונית מקומית לרשום שירותים שרירותיים שבדרך כלל יסופקו על ידי תהליך מיוחס, כגון system_server. נושא זה מדורג כחומרה גבוהה בשל האפשרות להתחזות לשירות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [ 2 ] | גָבוֹהַ | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 ביוני 2016 |
הפגיעות של העלאת הרשאות בשירות הגדרות הנעילה
פגיעות העלאת הרשאות בשירות הגדרות הנעילה עלולה לאפשר לאפליקציה זדונית מקומית לנקות את ה-PIN או הסיסמה של המכשיר. בעיה זו מדורגת כגבוהה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים עבור כל שינוי של מפתח או הגדרות אבטחה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | גָבוֹהַ | הכל Nexus | 6.0, 6.0.1, 7.0 | 6 ביולי 2016 |
הפגיעות של העלאת הרשאות ב-Mediaserver
הפגיעות של העלאת הרשאות ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [ 2 ] | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 ביולי 2016 |
| CVE-2016-3910 | A-30148546 | גָבוֹהַ | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 ביולי 2016 |
| CVE-2016-3913 | A-30204103 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 ביולי 2016 |
העלאת פגיעות הרשאות בתהליך זיגוטה
העלאת הרשאות בתהליך Zygote יכולה לאפשר לאפליקציה זדונית מקומית לבצע קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 ביולי 2016 |
העלאת פגיעות הרשאות בממשקי API של מסגרת
הפגיעות של העלאת הרשאות בממשקי API של Framework עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מוגן. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 ביולי 2016 |
הפגיעות של העלאת הרשאות בטלפוניה
הפגיעות של העלאת הרשאות ברכיב הטלפוניה עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 ביולי 2016 |
הפגיעות של העלאת הרשאות בשירות המצלמה
הפגיעות של העלאת הרשאות בשירות המצלמה עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 באוגוסט 2016 |
| CVE-2016-3916 | א-30741779 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 באוגוסט 2016 |
העלאת פגיעות הרשאות בכניסה לטביעת אצבע
פגיעות העלאת הרשאות במהלך התחברות בטביעת אצבע עלולה לאפשר לבעלים של מכשיר זדוני להתחבר כחשבון משתמש אחר במכשיר. בעיה זו מדורגת כגבוהה בשל האפשרות של עקיפת מסך נעילה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3917 | א-30744668 | גָבוֹהַ | הכל Nexus | 6.0.1, 7.0 | 5 באוגוסט 2016 |
פגיעות של חשיפת מידע ב-AOSP Mail
פגיעות של חשיפת מידע ב-AOSP Mail עלולה לאפשר לאפליקציה זדונית מקומית לעקוף הגנות של מערכת הפעלה המבודדות נתוני יישומים מיישומים אחרים. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3918 | א-30745403 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 באוגוסט 2016 |
פגיעות מניעת שירות ב-Wi-Fi
פגיעות של מניעת שירות ב-Wi-Fi עלולה לאפשר לתוקף מקומי קרוב ליצור נקודה חמה ולגרום לאתחול מחדש של המכשיר. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3882 | א-29464811 | גָבוֹהַ | הכל Nexus | 6.0, 6.0.1, 7.0 | 17 ביוני 2016 |
פגיעות מניעת שירות ב-GPS
פגיעות של מניעת שירות ברכיב ה-GPS עלולה לאפשר לתוקף מרוחק לגרום למכשיר להיתקע או לאתחל מחדש. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | גָבוֹהַ | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 ביוני 2016 |
פגיעות מניעת שירות ב-Mediaserver
פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. נושא זה מדורג כגבוה בשל האפשרות של מניעת שירות מרחוק.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3920 | א-30744884 | גָבוֹהַ | הכל Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 באוגוסט 2016 |
הפגיעות של העלאת הרשאות ב-Framework Listener
הפגיעות של העלאת הרשאות ב-Framework Listener עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 ביוני 2016 |
הפגיעות של העלאת הרשאות בטלפוניה
הפגיעות של העלאת הרשאות בטלפוניה עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | לְמַתֵן | הכל Nexus | 6.0, 6.0.1, 7.0 | 17 ביולי 2016 |
העלאת פגיעות הרשאות בשירותי נגישות
הפגיעות של העלאת הרשאות בשירותי הנגישות עלולה לאפשר לאפליקציה זדונית מקומית ליצור אירועי מגע בלתי צפויים במכשיר שעלולים להוביל ליישומים לקבל דיאלוגים של הרשאות ללא הסכמה מפורשת של המשתמש. בעיה זו מדורגת כמתונה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים שבדרך כלל תצריך ייזום משתמש או הרשאת משתמש.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3923 | א-30647115 | לְמַתֵן | הכל Nexus | 7.0 | Google פנימי |
פגיעות של חשיפת מידע ב-Mediaserver
פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | לְמַתֵן | הכל Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 ביולי 2016 |
פגיעות מניעת שירות ב-Wi-Fi
פגיעות של מניעת שירות בשירות ה-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית למנוע שיחות Wi-Fi. נושא זה מדורג כבינוני בשל האפשרות של מניעת שירות לפונקציונליות האפליקציה.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | לְמַתֵן | הכל Nexus | 6.0, 6.0.1, 7.0 | Google פנימי |
רמת תיקון האבטחה של 2016-10-05—פרטי פגיעות
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-10-05. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
פגיעות של ביצוע קוד מרחוק במפענח ASN.1 של ליבה
הפגיעות של העלאת הרשאות במפענח הליבה ASN.1 עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 גרעין במעלה הזרם | קריטי | Nexus 5X, Nexus 6P | 12 במאי 2016 |
פגיעות של ביצוע קוד מרחוק בתת-מערכת רשת ליבה
פגיעות של ביצוע קוד מרחוק בתת-מערכת הרשת של הליבה עלולה לאפשר לתוקף מרוחק לבצע קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 גרעין במעלה הזרם | קריטי | הכל Nexus | Google פנימי |
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 | קריטי | אף אחד | 6 ביולי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן זיכרון משותף של ליבה
הפגיעות של העלאת הרשאות במנהל ההתקן של הזיכרון המשותף של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 | קריטי | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 ביולי 2016 |
פגיעויות ברכיבי קוואלקום
הטבלה שלהלן מכילה פרצות אבטחה המשפיעות על רכיבי קוואלקום ומתוארות בפירוט נוסף בעלוני האבטחה של Qualcomm AMSS מרץ 2016 ו- Qualcomm AMSS אפריל 2016.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | קריטי | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | פנימי של קוואלקום |
| CVE-2016-3927 | A-28823244* | קריטי | Nexus 5X, Nexus 6P | פנימי של קוואלקום |
| CVE-2016-3929 | A-28823675* | גָבוֹהַ | Nexus 5X, Nexus 6P | פנימי של קוואלקום |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות ברכיב הרשת של Qualcomm
הפגיעות של העלאת הרשאות ברכיב הרשת של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 בפברואר 2016 |
הפגיעות של העלאת הרשאות במנהל הבדיקה של NVIDIA MMC
הפגיעות של העלאת הרשאות במנהל התקן הבדיקה של NVIDIA MMC עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 | גָבוֹהַ | Nexus 9 | 12 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm QSEE Communicator
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm QSEE Communicator עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 ביוני 2016 |
הפגיעות של העלאת הרשאות ב-Mediaserver
הפגיעות של העלאת הרשאות ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 | גָבוֹהַ | אף אחד | 6 ביוני 2016 |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 | גָבוֹהַ | Nexus 9, Pixel C | 14 ביוני 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של המצלמה של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 ביוני 2016 |
| CVE-2016-3934 | A-30102557 QC-CR#789704 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 ביולי 2016 |
הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm
הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 | גָבוֹהַ | Nexus 5X, Nexus 6P, Android One | 20 ביוני 2016 |
הפגיעות של העלאת הרשאות במנהל ההתקן של מנוע הקריפטו של קוואלקום
הפגיעות של העלאת הרשאות במנהל ההתקן של מנוע ההצפנה של Qualcomm עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 ביולי 2016 |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 ביולי 2016 |
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 | גָבוֹהַ | אף אחד | 6 ביולי 2016 |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 | גָבוֹהַ | אף אחד | 7 ביולי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של Qualcomm
הפגיעות של העלאת הרשאות במנהל התקן הווידאו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Android One | 7 ביולי 2016 |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Android One | 15 באוגוסט 2016 |
הפגיעות של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics
הפגיעות של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | גָבוֹהַ | Nexus 6P, Android One | 12 ביולי 2016 |
| CVE-2016-6672 | A-30537088* | גָבוֹהַ | Nexus 5X | 31 ביולי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA
הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 | גָבוֹהַ | Nexus 9 | 17 ביולי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות ב-system_server
הפגיעות של העלאת הרשאות ב-system_server עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | גָבוֹהַ | הכל Nexus | 26 ביולי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 | גָבוֹהַ | Nexus 5X | Google פנימי |
| CVE-2016-6675 | א-30873776 QC-CR#1000861 | גָבוֹהַ | Nexus 5X, Android One | 15 באוגוסט 2016 |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 | גָבוֹהַ | Nexus 5X, Android One | 15 באוגוסט 2016 |
| CVE-2016-5342 | א-30878283 QC-CR#1032174 | גָבוֹהַ | Android One | 15 באוגוסט 2016 |
הפגיעות של העלאת הרשאות בתת-מערכת ביצועי ליבה
הפגיעות של העלאת הרשאות בתת-מערכת הביצועים של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 גרעין במעלה הזרם | גָבוֹהַ | Nexus 5X, Nexus 6P, Pixel C, Android One | Google פנימי |
פגיעות של חשיפת מידע בתת-מערכת ION של ליבה
פגיעות של חשיפת מידע בתת-מערכת ION של הליבה עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 | גָבוֹהַ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 במאי 2016 |
פגיעות של חשיפת מידע במנהל ההתקן של NVIDIA GPU
פגיעות של חשיפת מידע במנהל ההתקן של NVIDIA GPU עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 | גָבוֹהַ | Nexus 9 | 19 ביולי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של התווים של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס, והקוד הפגיע אינו נגיש כעת.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 | לְמַתֵן | Nexus 5X, Nexus 6P | 28 במאי 2016 |
פגיעות של חשיפת מידע במנהל התקן הסאונד של Qualcomm
פגיעות של חשיפת מידע במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 | לְמַתֵן | Nexus 5X, Nexus 6P, Android One | 13 ביוני 2016 |
פגיעות של חשיפת מידע במנהל ההתקן של Motorola USBNet
פגיעות של חשיפת מידע במנהל ההתקן של Motorola USBNet עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | לְמַתֵן | Nexus 6 | 30 ביוני 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע ברכיבי קוואלקום
פגיעות של חשיפת מידע ברכיבי קוואלקום, כולל מנהל ההתקן של הקול, מנהל ההתקן של ה-IPA ומנהל ההתקן של ה-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [ 2 ] | לְמַתֵן | Nexus 5X, Android One | 30 ביוני 2016 |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 | לְמַתֵן | Nexus 5X, Nexus 6P, | 2 ביולי 2016 |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 | לְמַתֵן | Nexus 5X, Android One | 3 ביולי 2016 |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 | לְמַתֵן | Nexus 5X, Nexus 6P, Android One | 14 ביולי 2016 |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 | לְמַתֵן | Nexus 5X, Nexus 6P, Android One | 14 ביולי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע ברכיבי ליבה
פגיעות של חשיפת מידע ברכיבי ליבה, כולל Binder, Sync, Bluetooth ומנהל התקן סאונד, עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | לְמַתֵן | הכל Nexus | 13 ביולי 2016 |
| CVE-2016-6684 | A-30148243* | לְמַתֵן | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One | 13 ביולי 2016 |
| CVE-2015-8956 | A-30149612* | לְמַתֵן | Nexus 5, Nexus 6P, Android One | 14 ביולי 2016 |
| CVE-2016-6685 | A-30402628* | לְמַתֵן | Nexus 6P | 25 ביולי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע בפרופילי NVIDIA
פגיעות של חשיפת מידע בפרופיל NVIDIA עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 | לְמַתֵן | Nexus 9 | 15 ביולי 2016 |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 | לְמַתֵן | Nexus 9 | 15 ביולי 2016 |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 | לְמַתֵן | Nexus 9 | 2 באוגוסט 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות של חשיפת מידע בקרנל
פגיעות של חשיפת מידע ב-Binder עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | לְמַתֵן | הכל Nexus | 9 באוגוסט 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעות מניעת שירות בתת-מערכת רשת ליבה
פגיעות של מניעת שירות בתת-מערכת רשת הליבה עלולה לאפשר לתוקף לחסום גישה לחיבורי TCP ולגרום למניעת שירות זמנית מרחוק. בעיה זו מדורגת כמתונה מכיוון ששירותי סלולר עדיין זמינים והמכשיר עדיין ניתן לשימוש.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 גרעין במעלה הזרם | לְמַתֵן | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 12 ביולי 2016 |
פגיעות מניעת שירות במנהל ההתקן של סאונד ליבה
פגיעות של מניעת שירות בליבה עלולה לאפשר לאפליקציה זדונית מקומית לגרום לאתחול מחדש של המכשיר. בעיה זו מדורגת כנמוכה מכיוון שהיא מניעת שירות זמנית.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | נָמוּך | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player | 18 במאי 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
פגיעויות ברכיבי קוואלקום
הטבלה שלהלן מכילה רשימה של פרצות אבטחה המשפיעות על רכיבי קוואלקום.
| CVE | הפניות | חוּמרָה | מכשירי Nexus מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | גָבוֹהַ | אף אחד | יולי 2016 |
| CVE-2016-6692 | QC-CR#1004933 | גָבוֹהַ | אף אחד | אוגוסט 2016 |
| CVE-2016-6693 | QC-CR#1027585 | גָבוֹהַ | אף אחד | אוגוסט 2016 |
| CVE-2016-6694 | QC-CR#1033525 | גָבוֹהַ | אף אחד | אוגוסט 2016 |
| CVE-2016-6695 | QC-CR#1033540 | גָבוֹהַ | אף אחד | אוגוסט 2016 |
| CVE-2016-6696 | QC-CR#1041130 | גָבוֹהַ | אף אחד | אוגוסט 2016 |
| CVE-2016-5344 | QC-CR#993650 | לְמַתֵן | אף אחד | אוגוסט 2016 |
| CVE-2016-5343 | QC-CR#1010081 | לְמַתֵן | אף אחד | אוגוסט 2016 |
שאלות ותשובות נפוצות
סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?
רמות תיקון האבטחה של 2016-10-01 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-10-01. רמות תיקון האבטחה של 2016-10-05 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-10-05. עיין במרכז העזרה לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-10-01] או [ro.build.version.security_patch]:[2016-10-05].
2. מדוע בעלון זה כולל שתי מחרוזות ברמת תיקון אבטחה?
עלון זה כולל שתי מחרוזות ברמת תיקון האבטחה, כך שלשותפי אנדרואיד יש את הגמישות לתקן קבוצת משנה של פגיעויות הדומות בכל מכשירי האנדרואיד במהירות רבה יותר. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש במחרוזת העדכנית ביותר של תיקון האבטחה.
מכשירים המשתמשים ברמת תיקון האבטחה של 5 באוקטובר 2016 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעלוני אבטחה זה (וקודמים).
מכשירים המשתמשים ברמת תיקון האבטחה של 1 באוקטובר 2016 חייבים לכלול את כל הבעיות הקשורות לרמת תיקון האבטחה הזו, כמו גם תיקונים עבור כל הבעיות שדווחו בעלוני אבטחה קודמים.
3. כיצד אוכל לקבוע אילו מכשירי Nexus מושפעים מכל בעיה?
בקטעי פרטי פגיעות אבטחה של 2016-10-01 ו -2016-10-05 , לכל טבלה יש עמודת מכשירי Nexus מעודכנים המכסה את מגוון מכשירי ה-Nexus המושפעים המעודכנים עבור כל בעיה. בעמודה זו יש כמה אפשרויות:
- כל מכשירי ה-Nexus : אם בעיה משפיעה על כל מכשירי ה-Nexus, הטבלה תכלול "כל מכשירי ה-Nexus" בעמודה מכשירי ה-Nexus המעודכנים . "All Nexus" מכיל את המכשירים הנתמכים הבאים: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player ו-Pixel C.
- מכשירי Nexus מסוימים : אם בעיה לא משפיעה על כל מכשירי ה-Nexus, מכשירי ה-Nexus המושפעים רשומים בעמודה מכשירי Nexus מעודכנים .
- ללא מכשירי Nexus : אם אף מכשירי Nexus שבהם פועל Android 7.0 לא מושפעים מהבעיה, הטבלה תכלול "ללא" בעמודה מכשירי Nexus מעודכנים .
4. למה מפות הערכים בעמודת הפניות?
ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה. הקידומות הללו ממפות באופן הבא:
| קידומת | התייחסות |
|---|---|
| א- | מזהה באג אנדרואיד |
| QC- | מספר סימוכין של קוואלקום |
| M- | מספר סימוכין של MediaTek |
| נ- | מספר סימוכין של NVIDIA |
| ב- | מספר סימוכין של Broadcom |
תיקונים
- 3 באוקטובר 2016: פרסום העלון.
- 4 באוקטובר 2016: העלון תוקן כך שיכלול קישורי AOSP וייחוסים לעדכון עבור CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 ו-CVE-2016-6696.