Opublikowano 3 października 2016 r. | Zaktualizowano 4 października 2016 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Oprócz biuletynu udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pomocą aktualizacji OTA. Obrazy oprogramowania Nexus zostały też opublikowane na stronie dla deweloperów Google. Te problemy zostały rozwiązane w poziomach aktualizacji zabezpieczeń z 5 października 2016 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom zabezpieczeń, zapoznaj się z dokumentacją. Obsługiwane urządzenia Nexus otrzymają jedną aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 6 września 2016 r. lub wcześniej. W stosownych przypadkach poprawki do kodu źródłowego zostały opublikowane w repozytorium Projektu Android Open Source (AOSP). Ta wiadomość zawiera też linki do poprawek spoza AOSP.
Najpoważniejszymi z nich są krytyczne luki w zabezpieczeniach w kodzie związanym z konkretnym urządzeniem, które mogą umożliwiać zdalne uruchamianie kodu w kontekście jądra, co może prowadzić do trwałego naruszenia bezpieczeństwa urządzenia na poziomie lokalnym. Naprawa urządzenia może wymagać ponownego zaflashowania systemu operacyjnego. Ocena ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy bezpieczeństwa Androida oraz zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Zapobieganie naruszeniom zabezpieczeń Androida i usług Google.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- W tym komunikacie znajdują się 2 ciągi znaków poziomu poprawki zabezpieczeń, które dają partnerom Androida elastyczność w szybszym naprawianiu podzbioru luk, które są podobne na wszystkich urządzeniach z Androidem. Aby uzyskać więcej informacji, zapoznaj się z odpowiedziami na najczęstsze pytania:
- 2016-10-01: częściowy ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2016-10-01 (i wszystkie poprzednie ciągi znaków poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- 2016-10-05: pełny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2016-10-01 i 2016-10-05 (oraz wszystkie poprzednie ciągi znaków poziomu poprawki zabezpieczeń) zostały rozwiązane.
- Obsługiwane urządzenia Nexus otrzymają jedną aktualizację OTA z poziomem poprawki zabezpieczeń z 5 października 2016 r.
Środki zaradcze dotyczące usług Google i Androida
Oto podsumowanie metod ograniczania zagrożeń oferowanych przez platformę bezpieczeństwa Androida oraz usługi zabezpieczające, takie jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą weryfikacji aplikacji i SafetyNet, które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach. Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja weryfikacji aplikacji ostrzega użytkowników, gdy próbują oni zainstalować wykryte narzędzie do rootowania – niezależnie od tego, skąd pochodzi. Dodatkowo Weryfikacja aplikacji próbuje wykrywać i blokować instalowanie znanych szkodliwych aplikacji, które wykorzystują lukę umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Andre Teixeira Rizzo: CVE-2016-3882
- Andrea Biondo: CVE-2016-3921
- Daniel Micay z Copperhead Security: CVE-2016-3922
- Dmitry Vyukov z Google: CVE-2016-7117
- dosomder: CVE-2016-3931
- Ecular Xu (徐健) z Trend Micro: CVE-2016-3920
- Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
- Hang Zhang, Dongdong She i Zhiyun Qian z UC Riverside: CVE-2015-8950
- Hao Chen z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- Jann Horn z Google Project Zero: CVE-2016-3900, CVE-2016-3885
- Jason Rogena: CVE-2016-3917
- Jianqiang Zhao (@jianqiangzhao) i pjf z IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681, CVE-2016-6682, CVE-2016-3930
- Joshua Drake (@jduck): CVE-2016-3920
- Maciej Szawłowski z zespołu ds. bezpieczeństwa Google: CVE-2016-3905
- Mark Brand of Google Project Zero: CVE-2016-6689
- Michał Bednarski: CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2016-3933, CVE-2016-3932
- Nightwatch Cybersecurity Research (@nightwatchcyber): CVE-2016-5348
- Roee Hay, badacz zespołu IBM Security X-Force: CVE-2016-6678
- Samuel Tan z Google: CVE-2016-3925
- Scott Bauer (@ScottyBauer1): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Seven Shen (@lingtongshen) z zespołu Trend Micro ds. badań nad zagrożeniami mobilnymi: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
- Wenke Dou, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2016-3909
- Wenlin Yang i Guang Gong (龚广) (@oldfresher) z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Wish Wu (吴潍浠) (@wish_wu) z Trend Micro Inc.: CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- Yong Shi z zespołu Eagleye, SCC, Huawei: CVE-2016-3938
- Zhanpeng Zhao (行之) (@0xr0ot) z Security Research Lab, Cheetah Mobile: CVE-2016-3908
2016-10-01 poziom aktualizacji zabezpieczeń – informacje o lukach w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2016-10-01. Zawiera on opis problemu, uzasadnienie powagi oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Nexus oraz zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luki w zabezpieczeniach polegającej na podnoszeniu uprawnień w usłudze ServiceManager
Podniesienie uprawnień w ServiceManagerze może umożliwić lokalnej złośliwej aplikacji rejestrowanie dowolnych usług, które zwykle są dostarczane przez proces o większych uprawnieniach, np. system_server. Ten problem ma wysoki poziom ważności ze względu na możliwość podszywania się pod usługę.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [2] | Wysoki | Wszystkie Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 czerwca 2016 r. |
Luki w zabezpieczeniach dotyczącej podwyższania uprawnień w usłudze Lock Settings
W ramach usługi Lock Settings Service występuje luka umożliwiająca zwiększenie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wyczyszczenie kodu PIN lub hasła urządzenia. Ten problem ma ocenę wysoką, ponieważ umożliwia lokalne obejście wymagań dotyczących interakcji z użytkownikiem w przypadku wszelkich modyfikacji ustawień dewelopera lub zabezpieczeń.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | Wysoki | Wszystkie Nexus | 6.0, 6.0.1, 7.0 | 6 lipca 2016 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w Mediaserver
Podatność w Mediaserverze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [2] | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 lipca 2016 r. |
| CVE-2016-3910 | A-30148546 | Wysoki | Wszystkie Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 lipca 2016 r. |
| CVE-2016-3913 | A-30204103 | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 lipca 2016 r. |
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w procesie Zygote
Podniesienie uprawnień w procesie Zygote może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 lipca 2016 r. |
Podniesienie uprawnień w interfejsach API frameworku
Podatność na podniesienie uprawnień w interfejsach API frameworku może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 lipca 2016 r. |
Luki w zabezpieczeniach związane z podniesieniem uprawnień w aplikacji Telephony
Podatność w komponencie telefonii umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 lipca 2016 r. |
Luki w zabezpieczeniach związanej z podniesieniem uprawnień w usłudze aparatu
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w usłudze Aparat może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 sierpnia 2016 r. |
| CVE-2016-3916 | A-30741779 | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 sierpnia 2016 r. |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień podczas logowania za pomocą odcisku palca
W przypadku podatności umożliwiającej podniesienie uprawnień podczas logowania za pomocą odcisku palca właściciel urządzenia mógłby się zalogować na urządzeniu jako inny użytkownik. To zgłoszenie zostało ocenione jako wysokie ze względu na możliwość obejścia ekranu blokady.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | Wysoki | Wszystkie Nexus | 6.0.1, 7.0 | 5 sierpnia 2016 r. |
Luka w zabezpieczeniach dotycząca wycieku informacji w AOSP Mail
W AOSP Mail występuje luka w zabezpieczeniach, która umożliwia lokalnej złośliwej aplikacji obejście zabezpieczeń systemu operacyjnego izolujących dane aplikacji od innych aplikacji. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych bez zgody.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 sierpnia 2016 r. |
Atak typu DoS narażając na atak na Wi-Fi
Usługa Wi-Fi z luką w zabezpieczeniach umożliwiająca odmowę usługi może umożliwić lokalnemu atakującemu utworzenie hotspota i wymuszenie ponownego uruchomienia urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowego odmowy usługi zdalnie.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | Wysoki | Wszystkie Nexus | 6.0, 6.0.1, 7.0 | 17 czerwca 2016 r. |
Luki w zabezpieczeniach związane z atakami typu DoS w systemie GPS
Usługa, która jest podatna na atak typu „odmowa usługi” w komponencie GPS, może umożliwić atakującemu zdalnie zawieszenie lub ponowne uruchomienie urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowego odmowy usługi zdalnie.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | Wysoki | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 czerwca 2016 r. |
Atak typu DoS w usłudze Mediaserver
Luka w Mediaserverze umożliwiająca atak typu DoS może pozwolić atakującemu użyć specjalnie spreparowanego pliku, aby spowodować zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma ocenę wysoką z powodu możliwości zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | Wysoki | Wszystkie Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 sierpnia 2016 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w Framework Listener
Podatność na podniesienie uprawnień w Framework Listener może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wysokich uprawnieniach. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | Umiarkowana | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 czerwca 2016 r. |
Luki w zabezpieczeniach związane z podniesieniem uprawnień w aplikacji Telephony
W ramach podatności związanej z podwyższeniem uprawnień w obsługach telefonicznych lokalna aplikacja złośliwa może wykonać dowolny kod w kontekście procesu o wysokich uprawnieniach. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | Umiarkowana | Wszystkie Nexus | 6.0, 6.0.1, 7.0 | 17 lipca 2016 r. |
Usługa ułatwień dostępu z luka w zabezpieczeniach
W przypadku podatności w usługach ułatwień dostępu lokalna aplikacja może generować nieoczekiwane zdarzenia dotykowe na urządzeniu, co może prowadzić do akceptowania przez aplikacje okien z prośbami o uprawnienia bez wyraźnej zgody użytkownika. Ten problem został oceniony jako „Umiarkowany”, ponieważ jest to lokalny obejście wymagań dotyczących interakcji z użytkownikiem, które zwykle wymagają jego inicjatywy lub zgody.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | Umiarkowana | Wszystkie Nexus | 7,0 | Tylko w Google |
luka w zabezpieczeniach polegająca na wycieku informacji w Mediaserver
Użytkownikom lokalnych aplikacji złośliwych może zostać przyznany dostęp do danych spoza poziomu uprawnień, ponieważ w Mediaserverze występuje luka umożliwiająca ujawnienie informacji. Ten problem został oceniony jako „Umiarkowany”, ponieważ może umożliwiać dostęp do danych wrażliwych bez zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | Umiarkowana | Wszystkie Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 lipca 2016 r. |
Atak typu DoS w sieci Wi-Fi
Usługa Wi-Fi może zawierać podatność na atak typu DoS, która umożliwia lokalnym złośliwym aplikacjom blokowanie połączeń przez Wi-Fi. Ten problem został oceniony jako „Umiarkowany” ze względu na możliwość odmowy usługi w przypadku funkcji aplikacji.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | Umiarkowana | Wszystkie Nexus | 6.0, 6.0.1, 7.0 | Tylko w Google |
2016-10-05 poziom aktualizacji zabezpieczeń – informacje o lukach w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 października 2016 r. Zawiera on opis problemu, uzasadnienie powagi oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Nexus oraz zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
podatność na zdalne wykonanie kodu w dekoderze ASN.1 jądra.
Podatność na podniesienie uprawnień w dekoderze ASN.1 jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 Kernel upstream |
Krytyczny | Nexus 5X, Nexus 6P | 12 maja 2016 r. |
Wykorzystanie luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w podsystemie sieciowym jądra
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w podsystemie sieciowym jądra może umożliwić atakującemu zdalne uruchomienie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 Upstream kernel |
Krytyczny | Wszystkie Nexus | Tylko w Google |
Luki w zabezpieczeniach polegającej na podwyższaniu uprawnień w sterowniku wideo MediaTek
Użytkownik lokalny może wykorzystać podatność w sterowniku wideo MediaTek, aby uruchomić dowolny kod w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego zainfekowania urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 |
Krytyczny | Brak | 6 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
podatność na podniesienie uprawnień w sterowniku pamięci współdzielonej jądra
Luka w zabezpieczeniach polegająca na podwyższaniu uprawnień w sterowniku pamięci współdzielonej jądra może umożliwić lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego zainfekowania urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 lipca 2016 r. |
Luki w komponentach Qualcomm
Tabela poniżej zawiera informacje o lukach w zabezpieczeniach, które dotyczą komponentów Qualcomm. Szczegółowe informacje na ten temat można znaleźć w biuletynach dotyczących zabezpieczeń Qualcomm AMSS z marca 2016 r. i z kwietnia 2016 r.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | Krytyczny | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | Qualcomm wewnętrzny |
| CVE-2016-3927 | A-28823244* | Krytyczny | Nexus 5X, Nexus 6P | Qualcomm wewnętrzny |
| CVE-2016-3929 | A-28823675* | Wysoki | Nexus 5X, Nexus 6P | Qualcomm wewnętrzny |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Podwyższanie uprawnień w komponencie sieciowym Qualcomm
W komponencie sieciowym Qualcomm występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 lutego 2016 r. |
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w sterowniku testowym MMC firmy NVIDIA
Podatność w sterowniku testowym MMC firmy NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 |
Wysoki | Nexus 9 | 12 maja 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luki w zabezpieczeniach polegająca na podnoszeniu uprawnień w sterowniku Qualcomm QSEE Communicator
W sterowniku QSEE Communicator firmy Qualcomm występuje podatność na podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę wysoką, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 czerwca 2016 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w Mediaserver
Podatność w Mediaserverze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 |
Wysoki | Brak | 6 czerwca 2016 r. |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 |
Wysoki | Nexus 9, Pixel C | 14 czerwca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Podniesienie uprawnień w sterowniku aparatu Qualcomm
Podatność w sterowniku aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 |
Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 czerwca 2016 r. |
| CVE-2016-3934 | A-30102557 QC-CR#789704 |
Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 lipca 2016 r. |
Podwyższanie uprawnień w sterowniku dźwięku Qualcomm
Podatność w sterowniku dźwięku Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 |
Wysoki | Nexus 5X, Nexus 6P, Android One | 20 czerwca 2016 r. |
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w sterowniku silnika kryptograficznego Qualcomm
W ramach mechanizmu kryptograficznego Qualcomma występuje podatność na podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu z przywilejami.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 lipca 2016 r. |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 lipca 2016 r. |
Luki w zabezpieczeniach polegającej na podwyższaniu uprawnień w sterowniku wideo MediaTek
Użytkownik lokalny może wykorzystać podatność w sterowniku wideo MediaTek, aby uruchomić dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 |
Wysoki | Brak | 6 lipca 2016 r. |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 |
Wysoki | Brak | 7 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku wideo Qualcomm.
Podatność w zabezpieczeniach w sterowniku wideo Qualcomma może umożliwić lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 7 lipca 2016 r. |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 15 sierpnia 2016 r. |
luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics
W ramach podatności na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | Wysoki | Nexus 6P, Android One | 12 lipca 2016 r. |
| CVE-2016-6672 | A-30537088* | Wysoki | Nexus 5X | 31 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Podwyższanie uprawnień w sterowniku kamery NVIDIA
Podatność w sterowniku kamery NVIDIA umożliwiająca podniesienie uprawnień mogłaby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 |
Wysoki | Nexus 9 | 17 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w system_server
Luka w zabezpieczeniach w systemie system_server może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | Wysoki | Wszystkie Nexus | 26 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
podatność na podniesienie uprawnień w sterowniku Wi-Fi Qualcomm
Podatność w sterowniku Wi-Fi Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 |
Wysoki | Nexus 5X | Tylko w Google |
| CVE-2016-6675 | A-30873776 QC-CR#1000861 |
Wysoki | Nexus 5X, Android One | 15 sierpnia 2016 r. |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 |
Wysoki | Nexus 5X, Android One | 15 sierpnia 2016 r. |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 |
Wysoki | Android One | 15 sierpnia 2016 r. |
Podwyższanie uprawnień w ramach luki w zabezpieczeniach w podsystemie wydajności jądra
Luka w zabezpieczeniach związana z podniesieniem uprawnień w podsystemie wydajności jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 Jednostka jądra upstream |
Wysoki | Nexus 5X, Nexus 6P, Pixel C, Android One | Tylko w Google |
luka w zabezpieczeniach umożliwiająca ujawnienie informacji w podsystemie ION jądra
Podatność na ujawnienie informacji w podsystemie ION jądra może umożliwić lokalnej złośliwej aplikacji dostęp do danych spoza poziomu uprawnień. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 |
Wysoki | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 maja 2016 r. |
Wada podatności na ujawnienie informacji w sterowniku GPU NVIDIA
W układzie GPU firmy NVIDIA występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 |
Wysoki | Nexus 9 | 19 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Uprawnienie luki w zabezpieczeniach w sterowniku znaków Qualcomm
Podatność w sterowniku znaków Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako „Umiarkowany”, ponieważ wymaga najpierw przejęcia procesu z przywilejami, a kod z luką jest obecnie niedostępny.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 |
Umiarkowana | Nexus 5X, Nexus 6P | 28 maja 2016 r. |
luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm
W sterowniku dźwięku Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 |
Umiarkowana | Nexus 5X, Nexus 6P, Android One | 13 czerwca 2016 r. |
luka w zabezpieczeniach powodująca ujawnienie informacji w sterowniku Motorola USBNet
Użytkownik lokalny może wykorzystać podatność w sterowniku Motorola USBNet, aby uzyskać dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | Umiarkowana | Nexus 6 | 30 czerwca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
luka w zabezpieczeniach powodująca ujawnienie informacji w komponentach Qualcomm
W komponentach Qualcomma, w tym w sterowniku dźwięku, sterowniku IPA i sterowniku Wi-Fi, występuje luka w zabezpieczeniach, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [2] |
Umiarkowana | Nexus 5X, Android One | 30 czerwca 2016 r. |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 |
Umiarkowana | Nexus 5X, Nexus 6P, | 2 lipca 2016 r. |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 |
Umiarkowana | Nexus 5X, Android One | 3 lipca 2016 r. |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 |
Umiarkowana | Nexus 5X, Nexus 6P, Android One | 14 lipca 2016 r. |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 |
Umiarkowana | Nexus 5X, Nexus 6P, Android One | 14 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
luka w zabezpieczeniach umożliwiająca ujawnienie informacji w komponentach jądra.
W komponentach jądra, w tym w Binderze, Syncu, Bluetooth i sterowniku dźwięku, występuje luka w zabezpieczeniach, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako „Umiarkowany”, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | Umiarkowana | Wszystkie Nexus | 13 lipca 2016 r. |
| CVE-2016-6684 | A-30148243* | Umiarkowana | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One | 13 lipca 2016 r. |
| CVE-2015-8956 | A-30149612* | Umiarkowana | Nexus 5, Nexus 6P, Android One | 14 lipca 2016 r. |
| CVE-2016-6685 | A-30402628* | Umiarkowana | Nexus 6P | 25 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Wrażliwość na wyciek informacji w profilu NVIDIA
W profilu NVIDIA występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziomy uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 |
Umiarkowana | Nexus 9 | 15 lipca 2016 r. |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 |
Umiarkowana | Nexus 9 | 15 lipca 2016 r. |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 |
Umiarkowana | Nexus 9 | 2 sierpnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
podatność w rdzeniu umożliwiająca ujawnienie informacji;
W Binderze występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | Umiarkowana | Wszystkie Nexus | 9 sierpnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
podatność na atak typu DoS w podsystemie sieciowym jądra;
W ramach podatności na odmowę usługi w podsystemie sieciowym jądra atakujący może zablokować dostęp do połączeń TCP i wywołać tymczasową odmowę usługi z dalszej odległości. Ten problem ma ocenę Średni, ponieważ usługi komórkowe są nadal dostępne, a urządzenie jest nadal przydatne.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 Upstream kernel |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 12 lipca 2016 r. |
podatność na atak typu DoS w sterowniku dźwięku jądra
Usługa odmowy dostępu w rdzeniu może umożliwić lokalnej złośliwej aplikacji ponowne uruchomienie urządzenia. Ten problem ma niski priorytet, ponieważ jest to tymczasowy brak dostępu do usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | Niska | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player | 18 maja 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luki w komponentach Qualcomm
Tabela poniżej zawiera listę luk w zabezpieczeniach, które dotyczą komponentów Qualcomm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Nexus | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | Wysoki | Brak | Lipiec 2016 r. |
| CVE-2016-6692 | QC-CR#1004933 | Wysoki | Brak | Sierpień 2016 r. |
| CVE-2016-6693 | QC-CR#1027585 | Wysoki | Brak | Sierpień 2016 r. |
| CVE-2016-6694 | QC-CR#1033525 | Wysoki | Brak | Sierpień 2016 r. |
| CVE-2016-6695 | QC-CR#1033540 | Wysoki | Brak | Sierpień 2016 r. |
| CVE-2016-6696 | QC-CR#1041130 | Wysoki | Brak | Sierpień 2016 r. |
| CVE-2016-5344 | QC-CR#993650 | Umiarkowana | Brak | Sierpień 2016 r. |
| CVE-2016-5343 | QC-CR#1010081 | Umiarkowana | Brak | Sierpień 2016 r. |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy rozwiązuje te problemy?
Poziomy aktualizacji zabezpieczeń z 2016-10-01 lub nowsze rozwiązują wszystkie problemy związane z ciągiem znaków poziomu aktualizacji zabezpieczeń z 2016-10-01. Poziomy aktualizacji zabezpieczeń z 2016-10-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem ciągu poprawki zabezpieczeń z 2016-10-05. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń, odwiedź Centrum pomocy. Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawki na: [ro.build.version.security_patch]:[2016-10-01] lub [ro.build.version.security_patch]:[2016-10-05].
2. Dlaczego w tym komunikacie są 2 wiersze dotyczące poziomu aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 ciągi znaków dotyczące poziomu poprawek zabezpieczeń, aby partnerzy Androida mogli szybciej naprawiać podzbiór podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i użycia najnowszego ciągu stanu aktualizacji zabezpieczeń.
Urządzenia z poziomem poprawki zabezpieczeń z 5 października 2016 r. lub nowszym muszą zawierać wszystkie poprawki z tego (i poprzednich) komunikatu bezpieczeństwa.
Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 października 2016 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
3. Jak sprawdzić, które urządzenia Nexus są objęte danym problemem?
W sekcjach dotyczących szczegółów podawanych w 2016-10-01 i 2016-10-05 w ramach zabezpieczeń Zaktualizowane urządzenia Nexus w każdej tabeli znajduje się kolumna, która obejmuje zakres dotkniętych urządzeń Nexus zaktualizowanych w ramach danego problemu. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Nexus: jeśli problem dotyczy wszystkich urządzeń Nexus, w tabeli w kolumnie Zaktualizowane urządzenia Nexus pojawi się wartość „Wszystkie urządzenia Nexus”. „Wszystkie Nexusy” obejmuje te obsługiwane urządzenia: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player i Pixel C.
- Niektóre urządzenia Nexus: jeśli problem nie dotyczy wszystkich urządzeń Nexus, te, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Nexus.
- Brak urządzeń Nexus: jeśli problem nie dotyczy żadnych urządzeń Nexus z Androidem 7.0, w kolumnie Zaktualizowane urządzenia Nexus pojawi się wartość „Brak”.
4. Do czego odnoszą się wpisy w kolumnie „Odwołania”?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. Te przedrostki są mapowane w ten sposób:
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
Wersje
- 3 października 2016 r.: opublikowano biuletyn.
- 4 października 2016 r.: zaktualizowano biuletyn, aby zawierał linki do AOSP i informacje o autorach dotyczące CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 i CVE-2016-6696.