Android-Sicherheitsbulletin – Juni 2016

Veröffentlicht am 06.06.2016 | Aktualisiert am 08. Juni 2016

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Sicherheitspatch-Level vom 1. Juni 2016 oder später beheben diese Probleme. Lesen Sie die Nexus-Dokumentation , um zu erfahren, wie Sie den Sicherheits-Patch-Level überprüfen.

Partner wurden über die im Bulletin beschriebenen Probleme am 2. Mai 2016 oder früher benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht.

Das schwerwiegendste Problem ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.

Wir haben keine Berichte über aktive Ausbeutung oder Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Android- und Google- Dienstminderungen.

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Minderungen für Android- und Google-Dienste

Dies ist eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und den Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.

  • Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet , die entwickelt wurden, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Apps überprüfen ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Entsprechend übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Di Shen ( @returnsme ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
  • Gal Beniamini ( @laginimaineb ): CVE-2016-2476
  • Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • Hao Chen, Guang Gong und Wenlin Yang vom Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
  • Iwo Banas : CVE-2016-2496
  • Jianqiang Zhao( @jianqiangzhao ) und pjf ( weibo.com/jfpan ) von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
  • Lee Campbell von Google: CVE-2016-2500
  • Maciej Szawłowski vom Google-Sicherheitsteam: CVE-2016-2474
  • Marco Nelissen und Max Spector von Google: CVE-2016-2487
  • Marke von Google Project Zero: CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • Vasily Vasilev: CVE-2016-2463
  • Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2016-2495
  • Xiling Gong von der Abteilung für Sicherheitsplattformen von Tencent: CVE-2016-2499
  • Zach Riggle ( @ebeip90 ) vom Android-Sicherheitsteam: CVE-2016-2493

Details zu Sicherheitslücken

In den folgenden Abschnitten stellen wir Details zu allen Sicherheitslückeni bereit, die für das Patch-Level 2016-06-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Android-Fehler, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die AOSP-Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.

Schwachstelle bezüglich Remotecodeausführung in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei während der Mediendatei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft. Der Mediaserver-Prozess hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2463 27855419 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25. März 2016

Sicherheitslücken bezüglich Remotecodeausführung in libwebm

Sicherheitsanfälligkeiten bezüglich Remotecodeausführung in libwebm können es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um während der Mediendatei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft. Der Mediaserver-Prozess hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2464 23167726 [ 2 ] Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Elevation of Privilege-Schwachstelle im Qualcomm-Grafiktreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2465 27407865* Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21. Februar 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm Sound-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Soundtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2466 27947307* Kritisch Verbindung 6 27. Februar 2016
CVE-2016-2467 28029010* Kritisch Nexus 5 13. März 2014

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm-GPU-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-GPU-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2468 27475454* Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2. März 2016
CVE-2016-2062 27364029* Kritisch Nexus 5X, Nexus 6P 6. März 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2474 27424603* Kritisch Nexus 5X Google-intern

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber

Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, Systemaufrufe aufzurufen, die die Geräteeinstellungen und das Verhalten ohne die entsprechenden Berechtigungen ändern. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2475 26425765* Hoch Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 6. Januar 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm Sound-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Soundtreiber könnte es einer bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2066 26876409* Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29. Januar 2016
CVE-2016-2469 27531992* Hoch Nexus 5, Nexus 6, Nexus 6P 4. März 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle in Mediaserver

Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11. Februar 2016
CVE-2016-2477 27251096 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17. Februar 2016
CVE-2016-2478 27475409 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3. März 2016
CVE-2016-2479 27532282 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6. März 2016
CVE-2016-2480 27532721 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6. März 2016
CVE-2016-2481 27532497 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6. März 2016
CVE-2016-2482 27661749 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14. März 2016
CVE-2016-2483 27662502 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14. März 2016
CVE-2016-2484 27793163 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22. März 2016
CVE-2016-2485 27793367 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22. März 2016
CVE-2016-2486 27793371 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22. März 2016
CVE-2016-2487 27833616 [ 2 ] [ 3 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Elevation of Privilege-Schwachstelle im Qualcomm-Kameratreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Kameratreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2061 27207747* Hoch Nexus 5X, Nexus 6P 15. Februar 2016
CVE-2016-2488 27600832* Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Google-intern

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm-Grafiktreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2489 27407629* Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 21. Februar 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im NVIDIA-Kameratreiber

Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-Kameratreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, um den Treiber anzurufen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2490 27533373* Hoch Verbindung 9 6. März 2016
CVE-2016-2491 27556408* Hoch Verbindung 9 8. März 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2470 27662174* Hoch Verbindung 7 (2013) 13. März 2016
CVE-2016-2471 27773913* Hoch Verbindung 7 (2013) 19. März 2016
CVE-2016-2472 27776888* Hoch Verbindung 7 (2013) 20. März 2016
CVE-2016-2473 27777501* Hoch Verbindung 7 (2013) 20. März 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im MediaTek Power Management-Treiber

Eine Rechteerweiterung im MediaTek-Power-Management-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst eine Kompromittierung des Geräts und eine Erhöhung auf Root erfordert, um den Treiber aufzurufen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2492 28085410* Hoch Android One 7. April 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle in der SD-Karten-Emulationsschicht

Eine Schwachstelle bezüglich Rechteerweiterungen in der Userspace-Emulationsebene der SD-Karte könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2494 28085658 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7. April 2016

Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, um den Treiber anzurufen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2493 26571522* Hoch Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C Google-intern

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Remote-Denial-of-Service-Schwachstelle in Mediaserver

Eine Remote-Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2495 28076789 [ 2 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6. April 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der Framework-Benutzeroberfläche

Eine Schwachstelle bezüglich Rechteerweiterungen im Berechtigungsdialogfenster der Framework-Benutzeroberfläche könnte es einem Angreifer ermöglichen, Zugriff auf nicht autorisierte Dateien im privaten Speicher zu erlangen. Dieses Problem wird als mäßig eingestuft, da es dazu verwendet werden könnte, „ gefährliche “ Berechtigungen zu erlangen.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2496 26677796 [ 2 ] [ 3 ] Mäßig Alles Nexus 6.0, 6.1 26. Mai 2015

Schwachstelle bezüglich der Offenlegung von Informationen im Qualcomm Wi-Fi-Treiber

Eine Offenlegung von Informationen im Qualcomm Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines Dienstes erfordert, der den Treiber anrufen kann.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2498 27777162* Mäßig Verbindung 7 (2013) 20. März 2016

* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Offenlegung von Informationen Sicherheitslücke in Mediaserver

Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf Daten verwendet werden könnte.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2499 27855172 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24. März 2016

Sicherheitslücke bezüglich der Offenlegung von Informationen im Aktivitätsmanager

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Activity Manager-Komponente könnte es einer Anwendung ermöglichen, auf vertrauliche Informationen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es für den Zugriff auf Daten ohne Genehmigung verwendet werden könnte.

CVE Android-Fehler Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2500 19285814 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Häufige Fragen und Antworten

In diesem Abschnitt werden allgemeine Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Sicherheits-Patch-Level vom 1. Juni 2016 oder später beheben diese Probleme (Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation ). Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen: [ro.build.version.security_patch]:[2016-06-01]

2. Wie kann ich feststellen, welche Nexus-Geräte von jedem Problem betroffen sind?

Im Abschnitt Details zur Sicherheitslücke enthält jede Tabelle eine Spalte Aktualisierte Nexus-Geräte, die den Bereich der betroffenen Nexus-Geräte abdeckt, die für jedes Problem aktualisiert wurden. Diese Spalte hat einige Optionen:

  • Alle Nexus-Geräte : Wenn ein Problem alle Nexus-Geräte betrifft, wird in der Tabelle „Alle Nexus“ in der Spalte „ Aktualisierte Nexus-Geräte “ angezeigt. „Alle Nexus“ umfasst die folgenden unterstützten Geräte : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player und Pixel C.
  • Einige Nexus-Geräte : Wenn ein Problem nicht alle Nexus-Geräte betrifft, werden die betroffenen Nexus-Geräte in der Spalte „ Aktualisierte Nexus-Geräte “ aufgeführt.
  • Keine Nexus-Geräte : Wenn keine Nexus-Geräte von dem Problem betroffen sind, wird in der Tabelle „Keine“ in der Spalte „ Aktualisierte Nexus-Geräte “ angezeigt.

Revisionen

  • 06. Juni 2016: Bulletin veröffentlicht.
  • 07. Juni 2016:
    • Bulletin überarbeitet, um AOSP-Links aufzunehmen.
    • CVE-2016-2496 aus dem Bulletin entfernt.
  • 8. Juni 2016: CVE-2016-2496 wieder zum Bulletin hinzugefügt.