Boletim de segurança do Android — maio de 2016

Publicado em 02 de maio de 2016 | Atualizado em 04 de maio de 2016

O Boletim de Segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Juntamente com o boletim, lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA). As imagens de firmware do Nexus também foram lançadas no site do Google Developer . Os níveis de patch de segurança de 1º de maio de 2016 ou posterior abordam esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível de patch de segurança).

Os parceiros foram notificados sobre os problemas descritos no boletim em 04 de abril de 2016 ou anterior. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas relatados recentemente. Consulte a seção Mitigações do Android e do Google Service para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android.

Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Anúncios

  • Para refletir um foco mais amplo, renomeamos este boletim (e todos os seguintes na série) para o Boletim de Segurança do Android. Esses boletins abrangem uma gama mais ampla de vulnerabilidades que podem afetar dispositivos Android, mesmo que não afetem dispositivos Nexus.
  • Atualizamos as classificações de gravidade do Android Security . Essas mudanças foram o resultado de dados coletados nos últimos seis meses sobre vulnerabilidades de segurança relatadas e visam alinhar as gravidades mais de perto com o impacto do mundo real para os usuários.

Mitigações de serviço Android e Google

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente o abuso com o Verify Apps e o SafetyNet , que são projetados para alertar os usuários sobre aplicativos potencialmente prejudiciais . Verificar aplicativos está ativado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play. As ferramentas de root do dispositivo são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, não importa de onde ele venha. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como servidor de mídia.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Abhishek Arya, Oliver Chang e Martin Barbella da equipe de segurança do Google Chrome: CVE-2016-2454
  • Andy Tyler ( @ticarpi ) da e2e- assure: CVE-2016-2457
  • Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE : CVE-2016-2441, CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • Gal Beniamini: CVE-2016-2431
  • Hao Chen da equipe Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Jake Valletta da Mandiant, uma empresa FireEye: CVE-2016-2060
  • Jianqiang Zhao ( @jianqiangzhao ) e pjf ( weibo.com/jfpan ) do IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Imre Rad of Search-Lab Ltd. : CVE-2016-4477
  • Jeremy C. Joslin do Google: CVE-2016-2461
  • Kenny Root do Google: CVE-2016-2462
  • Marco Grassi ( @marcograss ) do KeenLab ( @keen_lab ), Tencent: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Peter Pi ( @heisecode ) da Trend Micro: CVE-2016-2459, CVE-2016-2460
  • Weichao Sun ( @sunblate ) da Alibaba Inc.: CVE-2016-2428, CVE-2016-2429
  • Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe C0RE : CVE-2016-2437
  • Yulong Zhang e Tao (Lenx) Wei do Baidu X-Lab: CVE-2016-2439
  • Zach Riggle ( @ebeip90 ) da equipe de segurança do Android: CVE-2016-2430

Detalhes da vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2016-05-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, dispositivos Nexus atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração do AOSP que abordou o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, as referências AOSP adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, uma vulnerabilidade no servidor de mídia pode permitir que um invasor cause corrupção de memória e execução remota de código como o processo do servidor de mídia.

A funcionalidade afetada é fornecida como parte central do sistema operacional e existem vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia do navegador.

Esse problema é classificado como gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2428 26751339 Crítico Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 de janeiro de 2016
CVE-2016-2429 27211885 Crítico Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 de fevereiro de 2016

Vulnerabilidade de elevação de privilégios no Debuggerd

Uma vulnerabilidade de elevação de privilégio no depurador Android integrado pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do depurador Android. Esse problema é classificado como gravidade Crítica devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2430 27299236 Crítico Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 de fevereiro de 2016

Vulnerabilidade de elevação de privilégios no Qualcomm TrustZone

Uma vulnerabilidade de elevação de privilégio no componente Qualcomm TrustZone pode permitir que um aplicativo malicioso local seguro execute código arbitrário no contexto do kernel TrustZone. Esse problema é classificado como gravidade Crítica devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2431 24968809* Crítico Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 de outubro de 2015
CVE-2016-2432 25913059* Crítico Nexus 6, Android Um 28 de novembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver Qualcomm Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como gravidade Crítica devido à possibilidade de um escalonamento de privilégio local e execução arbitrária de código levando à possibilidade de um comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2015-0569 26754117* Crítico Nexus 5X, Nexus 7 (2013) 23 de janeiro de 2016
CVE-2015-0570 26764809* Crítico Nexus 5X, Nexus 7 (2013) 25 de janeiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver de vídeo NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver de vídeo NVIDIA pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como gravidade Crítica devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2434 27251090* Crítico Nexus 9 17 de fevereiro de 2016
CVE-2016-2435 27297988* Crítico Nexus 9 20 de fevereiro de 2016
CVE-2016-2436 27299111* Crítico Nexus 9 22 de fevereiro de 2016
CVE-2016-2437 27436822* Crítico Nexus 9 1º de março de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no kernel

Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como gravidade Crítica devido à possibilidade de um escalonamento de privilégio local e execução arbitrária de código levando à possibilidade de um comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo. Esse problema foi descrito no Aviso de segurança do Android 2016-03-18 .

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2015-1805 27275324* Crítico Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 de fevereiro de 2016

* O patch no AOSP está disponível para versões específicas do kernel: 3.14 , 3.10 e 3.4 .

Vulnerabilidade de execução remota de código no kernel

Uma vulnerabilidade de execução remota de código no subsistema de áudio pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço privilegiado para chamar o subsistema de áudio, ele é classificado como de alta gravidade.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2438 26636060* Alto Nexus 9 Interno do Google

* O patch para este problema está disponível no Linux upstream .

Vulnerabilidade de divulgação de informações no Qualcomm Tethering Controller

Uma vulnerabilidade de divulgação de informações no controlador Qualcomm Tethering pode permitir que um aplicativo malicioso local acesse informações de identificação pessoal sem os privilégios para isso. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2060 27942588* Alto Nenhum 23 de março de 2016

* O patch para este problema não está no AOSP. A atualização deve estar contida nos drivers mais recentes dos dispositivos afetados.

Vulnerabilidade de execução remota de código no Bluetooth

Durante o emparelhamento de um dispositivo Bluetooth, uma vulnerabilidade no Bluetooth pode permitir que um invasor próximo execute código arbitrário durante o processo de emparelhamento. Este problema é classificado como de alta gravidade devido à possibilidade de execução remota de código durante a inicialização de um dispositivo Bluetooth.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2439 27411268 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no fichário

Uma vulnerabilidade de elevação de privilégio no Binder pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do processo de outro aplicativo. Ao liberar memória, uma vulnerabilidade no Binder pode permitir que um invasor cause a execução de código local. Esse problema é classificado como gravidade alta devido à possibilidade de execução de código local durante o processo de memória livre no fichário.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2440 27252896 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 de fevereiro de 2016

Elevação da vulnerabilidade de privilégio no driver Qualcomm Buspm

Uma vulnerabilidade de elevação de privilégio no driver buspm da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2441 26354602* Alto Nexus 5X, Nexus 6, Nexus 6P 30 de dezembro de 2015
CVE-2016-2442 26494907* Alto Nexus 5X, Nexus 6, Nexus 6P 30 de dezembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver Qualcomm MDP

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm MDP pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2443 26404525* Alto Nexus 5, Nexus 7 (2013) 5 de janeiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver Qualcomm Wi-Fi

Uma vulnerabilidade de elevação de privilégio no componente Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local invoque chamadas de sistema alterando as configurações e o comportamento do dispositivo sem os privilégios para isso. Esse problema é classificado como de alta gravidade porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2015-0571 26763920* Alto Nexus 5X, Nexus 7 (2013) 25 de janeiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no driver de vídeo NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver de mídia NVIDIA pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço de alto privilégio para chamar o driver, ele é classificado como de alta gravidade.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2444 27208332* Alto Nexus 9 16 de fevereiro de 2016
CVE-2016-2445 27253079* Alto Nexus 9 17 de fevereiro de 2016
CVE-2016-2446 27441354* Alto Nexus 9 1º de março de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Elevação de vulnerabilidade de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio em Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque também pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.

Nota : O número CVE foi atualizado, por solicitação MITRE, de CVE-2016-2447 para CVE-2016-4477.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-4477 27371366 [ 2 ] Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 de fevereiro de 2016

Vulnerabilidade de elevação de privilégios no Mediaserver

Uma vulnerabilidade de elevação de privilégio no mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissões de assinatura ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2448 27533704 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 de março de 2016
CVE-2016-2449 27568958 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 de março de 2016
CVE-2016-2450 27569635 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 de março de 2016
CVE-2016-2451 27597103 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 de março de 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 de março de 2016

Vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2453 27549705* Alto Android um 8 de março de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de negação de serviço remota no codec de hardware da Qualcomm

Durante o processamento de arquivos de mídia e dados de um arquivo especialmente criado, uma vulnerabilidade remota de negação de serviço no codec de vídeo de hardware da Qualcomm pode permitir que um invasor remoto bloqueie o acesso a um dispositivo afetado, causando uma reinicialização do dispositivo. Isso é classificado como gravidade alta devido à possibilidade de negação de serviço remota.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2454 26221024* Alto Nexus 5 16 de dezembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no Conscrypt

Uma vulnerabilidade de elevação de privilégio no Conscrypt pode permitir que um aplicativo local acredite que uma mensagem foi autenticada quando não foi. Esse problema é classificado como gravidade moderada porque requer etapas coordenadas em vários dispositivos.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2461 27324690 [ 2 ] Moderado Todos os Nexus 6.0, 6.0.1 Interno do Google
CVE-2016-2462 27371173 Moderado Todos os Nexus 6.0, 6.0.1 Interno do Google

Elevação da vulnerabilidade de privilégio em OpenSSL e BoringSSL

Uma vulnerabilidade de elevação de privilégio no OpenSSL e no BoringSSL pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Normalmente, isso seria classificado como Alto, mas como requer uma configuração manual incomum, é classificado como gravidade Moderada.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-0705 27449871 Moderado Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi pode permitir que um aplicativo mal-intencionado local cause uma negação de serviço. Normalmente, um bug de elevação de privilégio como esse seria classificado como Alto, mas como exige primeiro o comprometimento de um serviço do sistema, ele é classificado como gravidade Moderada.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-2456 27275187* Moderado Android um 19 de fevereiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Elevação de vulnerabilidade de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio no Wi-Fi pode permitir que uma conta de convidado modifique as configurações de Wi-Fi que persistem para o usuário principal. Esse problema é classificado como gravidade moderada porque permite acesso local a recursos " perigosos " sem permissão.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2457 27411179 Moderado Todos os Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 29 de fevereiro de 2016

Vulnerabilidade de divulgação de informações no correio AOSP

Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo mal-intencionado local obtenha acesso às informações privadas do usuário. Esse problema é classificado como gravidade moderada porque pode ser usado para acessar dados de forma inadequada sem permissão.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2458 27335139 [ 2 ] Moderado Todos os Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 23 de fevereiro de 2016

Vulnerabilidade de divulgação de informações no Mediaserver

Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo acesse informações confidenciais. Esse problema é classificado como gravidade moderada porque pode ser usado para acessar dados de forma inadequada sem permissão.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-2459 27556038 Moderado Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 de março de 2016
CVE-2016-2460 27555981 Moderado Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 de março de 2016

Vulnerabilidade de negação de serviço no kernel

Uma vulnerabilidade de negação de serviço no kernel pode permitir que um aplicativo mal-intencionado local cause a reinicialização do dispositivo. Esse problema é classificado como de gravidade baixa porque o efeito é uma negação de serviço temporária.

CVE Erro do Android Gravidade Dispositivos Nexus atualizados Data do relatório
CVE-2016-0774 27721803* Baixo Todos os Nexus 17 de março de 2016

* O patch para este problema está disponível no Linux upstream .

Perguntas e respostas comuns

Esta seção revisa as respostas para perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Os níveis de patch de segurança de 1º de maio de 2016 ou posterior abordam esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível de patch de segurança). Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para: [ro.build.version.security_patch]:[2016-05-01]

2. Como determino quais dispositivos Nexus são afetados por cada problema?

Na seção Detalhes da vulnerabilidade de segurança , cada tabela tem uma coluna de dispositivos Nexus atualizados que abrange o intervalo de dispositivos Nexus afetados atualizados para cada problema. Esta coluna tem algumas opções:

  • Todos os dispositivos Nexus : se um problema afetar todos os dispositivos Nexus, a tabela terá Todos os Nexus na coluna Dispositivos Nexus atualizados . Todos os Nexus encapsulam os seguintes dispositivos compatíveis : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player e Pixel C.
  • Alguns dispositivos Nexus : se um problema não afetar todos os dispositivos Nexus, os dispositivos Nexus afetados são listados na coluna Dispositivos Nexus atualizados .
  • Nenhum dispositivo Nexus : se nenhum dispositivo Nexus for afetado pelo problema, a tabela terá "Nenhum" na coluna Dispositivos Nexus atualizados .

3. Por que o CVE-2015-1805 está incluído neste boletim?

O CVE-2015-1805 está incluído neste boletim porque o Android Security Advisory—2016-03-18 foi publicado muito próximo ao lançamento do boletim de abril. Devido ao cronograma apertado, os fabricantes de dispositivos tiveram a opção de enviar correções do Nexus Security Bulletin—abril de 2016 , sem a correção para CVE-2015-1805, se usaram o nível de patch de segurança de 01 de abril de 2016. Ele está incluído novamente neste boletim, pois deve ser corrigido para usar o Nível de Patch de Segurança de 01 de maio de 2016.

Revisões

  • 02 de maio de 2016: Boletim publicado.
  • 04 de maio de 2016:
    • Boletim revisado para incluir links AOSP.
    • Lista de todos os dispositivos Nexus atualizados para incluir o Nexus Player e o Pixel C.
    • CVE-2016-2447 atualizado para CVE-2016-4477, por solicitação MITRE.