Android-Sicherheitsbulletin – August 2016

Veröffentlicht am 1. August 2016 | Aktualisiert am 21. Oktober 2016

Das Android Security Bulletin enthält Einzelheiten zu Sicherheitslücken, die Android-Geräte betreffen. Parallel zum Bulletin haben wir über ein Over-the-Air-Update (OTA) ein Sicherheitsupdate für Nexus-Geräte veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Sicherheitspatch-Level vom 5. August 2016 oder später beheben diese Probleme. In der Dokumentation erfahren Sie, wie Sie den Sicherheitspatch-Level überprüfen.

Die Partner wurden am 6. Juli 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im Android Open Source Project (AOSP)-Repository veröffentlicht. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.

Uns liegen keine Berichte über eine aktive Ausbeutung oder einen Missbrauch dieser neu gemeldeten Probleme durch Kunden vor. Weitere Informationen zu den Android-Sicherheitsplattformschutzmaßnahmen und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „Abhilfemaßnahmen für Android- und Google-Dienste“.

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Ankündigungen

  • Das Bulletin wurde überarbeitet, um CVE-2016-3856 in CVE-2016-2060 zu korrigieren.
  • Dieses Bulletin enthält zwei Sicherheitspatch-Level-Strings, um Android-Partnern die Flexibilität zu geben, schneller vorzugehen und eine Teilmenge von Schwachstellen zu beheben, die auf allen Android-Geräten ähnlich sind. Weitere Informationen finden Sie unter Häufige Fragen und Antworten :
    • 01.08.2016 : Teilweise Sicherheitspatch-Level-Zeichenfolge. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit dem 01.08.2016 (und allen vorherigen Sicherheitspatch-Level-Zeichenfolgen) behoben sind.
    • 05.08.2016 : Vollständige Sicherheitspatch-Level-Zeichenfolge. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2016-08-01 und 2016-08-05 (und allen vorherigen Sicherheitspatch-Level-Zeichenfolgen) behoben sind.
  • Unterstützte Nexus-Geräte erhalten ein einziges OTA-Update mit dem Sicherheitspatch-Level vom 5. August 2016.

Abhilfemaßnahmen für Android- und Google-Dienste

Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.

  • Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet , die Benutzer vor potenziell schädlichen Anwendungen warnen sollen. „Apps überprüfen“ ist auf Geräten mit Google Mobile Services standardmäßig aktiviert und besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind bei Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter Schadanwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

Wir möchten Daniel Micay von Copperhead Security, Jeff Vander Stoep und Yabin Cui von Google für ihren Beitrag zu Updates auf Plattformebene danken, um eine Klasse von Schwachstellen wie CVE-2016-3843 zu entschärfen. Diese Schadensbegrenzung basiert auf der Arbeit von Brad Spengler von Grsecurity.

2016-08-01 Sicherheitspatch-Level – Details zur Sicherheitslücke

In den folgenden Abschnitten stellen wir Details zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2016-08-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit CVE, zugehörigen Referenzen, Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (sofern zutreffend) und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem behoben hat, mit der Fehler-ID, z. B. der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Verweise mit Nummern verknüpft, die der Fehler-ID folgen.

Sicherheitslücke zur Remotecodeausführung in Mediaserver

Eine Sicherheitslücke bei der Remotecodeausführung in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei eine Speicherbeschädigung während der Mediendatei- und Datenverarbeitung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit einer Remote-Codeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft. Der Mediaserver-Prozess hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.

Die betroffene Funktionalität wird als Kernbestandteil des Betriebssystems bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3819 A-28533562 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2. Mai 2016
CVE-2016-3820 A-28673410 Kritisch Alles Nexus 6.0, 6.0.1 6. Mai 2016
CVE-2016-3821 A-28166152 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Sicherheitslücke zur Remotecodeausführung in libjhead

Eine Sicherheitslücke in libjhead zur Remotecodeausführung könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da in Anwendungen, die diese Bibliothek verwenden, die Möglichkeit einer Remotecodeausführung besteht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3822 A-28868315 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3823 A-28815329 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17. Mai 2016
CVE-2016-3824 A-28816827 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17. Mai 2016
CVE-2016-3825 A-28816964 Hoch Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 17. Mai 2016
CVE-2016-3826 A-29251553 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9. Juni 2016

Denial-of-Service-Schwachstelle im Mediaserver

Eine Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei einen Geräteabsturz oder einen Neustart herbeizuführen. Dieses Problem wird als „Hoch“ eingestuft, da die Möglichkeit einer vorübergehenden Remote-Verweigerung des Dienstes besteht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3827 A-28816956 Hoch Alles Nexus 6.0.1 16. Mai 2016
CVE-2016-3828 A-28835995 Hoch Alles Nexus 6.0, 6.0.1 17. Mai 2016
CVE-2016-3829 A-29023649 Hoch Alles Nexus 6.0, 6.0.1 27. Mai 2016
CVE-2016-3830 A-29153599 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Denial-of-Service-Schwachstelle in der Systemuhr

Eine Denial-of-Service-Schwachstelle in der Systemuhr könnte es einem Remote-Angreifer ermöglichen, das Gerät zum Absturz zu bringen. Dieses Problem wird als „Hoch“ eingestuft, da die Möglichkeit einer vorübergehenden Remote-Verweigerung des Dienstes besteht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3831 A-29083635 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 31. Mai 2016

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Framework-APIs

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in den Framework-APIs könnte es einer lokalen Schadanwendung ermöglichen, Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem wird als „Mittel“ eingestuft, da es dazu verwendet werden könnte, Zugriff auf Daten zu erhalten, die außerhalb der Berechtigungsstufen der Anwendung liegen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3832 A-28795098 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15. Mai 2016

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Shell

Eine Rechteerweiterung in der Shell könnte es einer lokalen Schadanwendung ermöglichen, Geräteeinschränkungen wie Benutzerbeschränkungen zu umgehen. Dieses Problem wird als mittelschwer eingestuft, da es sich um eine lokale Umgehung von Benutzerberechtigungen handelt.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3833 A-29189712 [ 2 ] Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Sicherheitslücke bei der Offenlegung von Informationen in OpenSSL

Eine Sicherheitslücke bei der Offenlegung von Informationen in OpenSSL könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Mittel“ eingestuft, da es dazu genutzt werden könnte, ohne Erlaubnis auf vertrauliche Daten zuzugreifen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2842 A-29060514 Keiner* Alles Nexus 4.4.4, 5.0.2, 5.1.1 29. März 2016

* Unterstützte Nexus-Geräte, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen

Sicherheitslücke bei der Offenlegung von Informationen in Kamera-APIs

Eine Sicherheitslücke bei der Offenlegung von Informationen in den Kamera-APIs könnte es einer lokalen Schadanwendung ermöglichen, auf Datenstrukturen außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als „Mittel“ eingestuft, da es dazu genutzt werden könnte, ohne Erlaubnis auf vertrauliche Daten zuzugreifen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3834 A-28466701 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28. April 2016

Sicherheitslücke bei der Offenlegung von Informationen in Mediaserver

Eine Sicherheitslücke bei der Offenlegung von Informationen in Mediaserver könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Mittel“ eingestuft, da es dazu genutzt werden könnte, ohne Erlaubnis auf vertrauliche Daten zuzugreifen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3835 A-28920116 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23. Mai 2016

Sicherheitslücke bei der Offenlegung von Informationen in SurfaceFlinger

Eine Schwachstelle bezüglich der Offenlegung von Informationen im SurfaceFlinger-Dienst könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Mittel“ eingestuft, da es zum Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3836 A-28592402 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 4. Mai 2016

Sicherheitslücke bei der Offenlegung von Informationen im WLAN

Eine Sicherheitslücke bei der Offenlegung von Informationen im WLAN könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Mittel“ eingestuft, da es zum Zugriff auf vertrauliche Daten ohne Erlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3837 A-28164077 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Denial-of-Service-Schwachstelle in der Benutzeroberfläche des Systems

Eine Denial-of-Service-Schwachstelle in der Benutzeroberfläche des Systems könnte es einer lokalen Schadanwendung ermöglichen, Notrufe von einem gesperrten Bildschirm aus zu verhindern. Dieses Problem wird als „Mittel“ eingestuft, da die Möglichkeit eines Denial-of-Service bei einer kritischen Funktion besteht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3838 A-28761672 Mäßig Alles Nexus 6.0, 6.0.1 Google-intern

Denial-of-Service-Schwachstelle in Bluetooth

Eine Denial-of-Service-Schwachstelle in Bluetooth könnte es einer lokalen Schadanwendung ermöglichen, Notrufe von einem Bluetooth-Gerät zu verhindern. Dieses Problem wird als „Mittel“ eingestuft, da die Möglichkeit eines Denial-of-Service bei einer kritischen Funktion besteht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3839 A-28885210 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

05.08.2016 Sicherheitspatch-Level – Details zur Sicherheitslücke

In den folgenden Abschnitten stellen wir Einzelheiten zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2016-08-05 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit CVE, zugehörigen Referenzen, Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (sofern zutreffend) und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem behoben hat, mit der Fehler-ID, z. B. die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Verweise mit Nummern verknüpft, die der Fehler-ID folgen.

Sicherheitslücke zur Remotecodeausführung im Qualcomm Wi-Fi-Treiber

Eine Sicherheitslücke zur Remotecodeausführung im Qualcomm Wi-Fi-Treiber könnte es einem Remoteangreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2014-9902 A-28668638

QC-CR#553937
QC-CR#553941

Kritisch Nexus 7 (2013) 31. März 2014

Sicherheitslücke bei Remotecodeausführung in Conscrypt

Eine Schwachstelle in Conscrypt zur Remotecodeausführung könnte es einem Remoteangreifer ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung als kritisch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3840 A-28751153 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Qualcomm-Komponenten

Die folgende Tabelle enthält Sicherheitslücken, die Qualcomm-Komponenten betreffen, möglicherweise einschließlich des Bootloaders, des Kameratreibers, des Zeichenlaufwerks, des Netzwerks, des Soundtreibers und des Videotreibers.

Das schwerwiegendste dieser Probleme wird als „Kritisch“ eingestuft, da die Möglichkeit besteht, dass eine lokale bösartige Anwendung beliebigen Code im Kontext des Kernels ausführen könnte, was zu einer lokalen dauerhaften Gerätekompromittierung führt, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2014-9863 A-28768146

QC-CR#549470

Kritisch Nexus 5, Nexus 7 (2013) 30. April 2014
CVE-2014-9864 A-28747998

QC-CR#561841

Hoch Nexus 5, Nexus 7 (2013) 27. März 2014
CVE-2014-9865 A-28748271

QC-CR#550013

Hoch Nexus 5, Nexus 7 (2013) 27. März 2014
CVE-2014-9866 A-28747684

QC-CR#511358

Hoch Nexus 5, Nexus 7 (2013) 31. März 2014
CVE-2014-9867 A-28749629

QC-CR#514702

Hoch Nexus 5, Nexus 7 (2013) 31. März 2014
CVE-2014-9868 A-28749721

QC-CR#511976

Hoch Nexus 5, Nexus 7 (2013) 31. März 2014
CVE-2014-9869 A-28749728

QC-CR#514711 [ 2 ]

Hoch Nexus 5, Nexus 7 (2013) 31. März 2014
CVE-2014-9870 A-28749743

QC-CR#561044

Hoch Nexus 5, Nexus 7 (2013) 31. März 2014
CVE-2014-9871 A-28749803

QC-CR#514717

Hoch Nexus 5, Nexus 7 (2013) 31. März 2014
CVE-2014-9872 A-28750155

QC-CR#590721

Hoch Nexus 5 31. März 2014
CVE-2014-9873 A-28750726

QC-CR#556860

Hoch Nexus 5, Nexus 7 (2013) 31. März 2014
CVE-2014-9874 A-28751152

QC-CR#563086

Hoch Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) 31. März 2014
CVE-2014-9875 A-28767589

QC-CR#483310

Hoch Nexus 7 (2013) 30. April 2014
CVE-2014-9876 A-28767796

QC-CR#483408

Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 30. April 2014
CVE-2014-9877 A-28768281

QC-CR#547231

Hoch Nexus 5, Nexus 7 (2013) 30. April 2014
CVE-2014-9878 A-28769208

QC-CR#547479

Hoch Nexus 5 30. April 2014
CVE-2014-9879 A-28769221

QC-CR#524490

Hoch Nexus 5 30. April 2014
CVE-2014-9880 A-28769352

QC-CR#556356

Hoch Nexus 7 (2013) 30. April 2014
CVE-2014-9881 A-28769368

QC-CR#539008

Hoch Nexus 7 (2013) 30. April 2014
CVE-2014-9882 A-28769546

QC-CR#552329 [ 2 ]

Hoch Nexus 7 (2013) 30. April 2014
CVE-2014-9883 A-28769912

QC-CR#565160

Hoch Nexus 5, Nexus 7 (2013) 30. April 2014
CVE-2014-9884 A-28769920

QC-CR#580740

Hoch Nexus 5, Nexus 7 (2013) 30. April 2014
CVE-2014-9885 A-28769959

QC-CR#562261

Hoch Nexus 5 30. April 2014
CVE-2014-9886 A-28815575

QC-CR#555030

Hoch Nexus 5, Nexus 7 (2013) 30. April 2014
CVE-2014-9887 A-28804057

QC-CR#636633

Hoch Nexus 5, Nexus 7 (2013) 3. Juli 2014
CVE-2014-9888 A-28803642

QC-CR#642735

Hoch Nexus 5, Nexus 7 (2013) 29. August 2014
CVE-2014-9889 A-28803645

QC-CR#674712

Hoch Nexus 5 31. Okt. 2014
CVE-2015-8937 A-28803962

QC-CR#770548

Hoch Nexus 5, Nexus 6, Nexus 7 (2013) 31. März 2015
CVE-2015-8938 A-28804030

QC-CR#766022

Hoch Nexus 6 31. März 2015
CVE-2015-8939 A-28398884

QC-CR#779021

Hoch Nexus 7 (2013) 30. April 2015
CVE-2015-8940 A-28813987

QC-CR#792367

Hoch Nexus 6 30. April 2015
CVE-2015-8941 A-28814502

QC-CR#792473

Hoch Nexus 6, Nexus 7 (2013) 29. Mai 2015
CVE-2015-8942 A-28814652

QC-CR#803246

Hoch Nexus 6 30. Juni 2015
CVE-2015-8943 A-28815158

QC-CR#794217

QC-CR#836226

Hoch Nexus 5 11. September 2015
CVE-2014-9891 A-28749283

QC-CR#550061

Mäßig Nexus 5 13. März 2014
CVE-2014-9890 A-28770207

QC-CR#529177

Mäßig Nexus 5, Nexus 7 (2013) 2. Juni 2014

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Kernel-Netzwerkkomponente

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Kernel-Netzwerkkomponente könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2015-2686 A-28759139

Upstream-Kernel

Kritisch Alles Nexus 23. März 2015
CVE-2016-3841 A-28746669

Upstream-Kernel

Kritisch Alles Nexus 3. Dezember 2015

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-GPU-Treiber

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-GPU-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2504 A-28026365

QC-CR#1002974

Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 5. April 2016
CVE-2016-3842 A-28377352

QC-CR#1002974

Kritisch Nexus 5X, Nexus 6, Nexus 6P 25. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Qualcomm-Leistungskomponente

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Qualcomm-Leistungskomponente könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.

Hinweis: In diesem Bulletin gibt es unter A-29119870 auch ein Update auf Plattformebene, das diese Klasse von Schwachstellen abschwächen soll.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3843 A-28086229*

QC-CR#1011071

Kritisch Nexus 5X, Nexus 6P 7. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3857 A-28522518* Kritisch Nexus 7 (2013) 2. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Speichersystem

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Speichersystem könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2015-1593 A-29577822

Upstream-Kernel

Hoch Nexus-Spieler 13. Februar 2015
CVE-2016-3672 A-28763575

Upstream-Kernel

Hoch Nexus-Spieler 25. März 2016

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Kernel-Soundkomponente

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Kernel-Soundkomponente könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2544 A-28695438

Upstream-Kernel

Hoch Alles Nexus 19. Januar 2016
CVE-2016-2546 A-28694392

Upstream-Kernel

Hoch Pixel C 19. Januar 2016
CVE-2014-9904 A-28592007

Upstream-Kernel

Hoch Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player 4. Mai 2016

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Dateisystem

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Dateisystem könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2012-6701 A-28939037

Upstream-Kernel

Hoch Nexus 5, Nexus 7 (2013) 2. März 2016

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3844 A-28299517*

N-CVE-2016-3844

Hoch Nexus 9, Pixel C 19. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Grafiktreiber

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3845 A-28399876* Hoch Nexus 5 20. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Treiber für die serielle Peripherieschnittstelle

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Treiber für die serielle Peripherieschnittstelle könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3846 A-28817378* Hoch Nexus 5X, Nexus 6P 17. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im NVIDIA-Medientreiber

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im NVIDIA-Medientreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3847 A-28871433*

N-CVE-2016-3847

Hoch Nexus 9 19. Mai 2016
CVE-2016-3848 A-28919417*

N-CVE-2016-3848

Hoch Nexus 9 19. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im ION-Treiber

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im ION-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3849 A-28939740 Hoch Pixel C 24. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Bootloader

Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Bootloader könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3850 A-27917291

QC-CR#945164

Hoch Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) 28. März 2016

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Leistungssubsystem

Sicherheitslücken zur Erhöhung von Berechtigungen im Kernel-Leistungssubsystem könnten es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da Angreifern eine Kernel-Angriffsfläche zur Verfügung steht.

Hinweis: Hierbei handelt es sich um ein Update auf Plattformebene, das eine Klasse von Schwachstellen wie CVE-2016-3843 (A-28086229) abschwächen soll.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3843 A-29119870* Hoch Alles Nexus 6.0, 6.1 Google-intern

* Ein Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Bootloader von LG Electronics

Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Bootloader von LG Electronics könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3851 A-29189941* Hoch Nexus 5X Google-intern

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bei der Offenlegung von Informationen in Qualcomm-Komponenten

Die folgende Tabelle enthält Sicherheitslücken, die Qualcomm-Komponenten betreffen, möglicherweise einschließlich des Bootloaders, des Kameratreibers, des Zeichentreibers, des Netzwerks, des Soundtreibers und des Videotreibers.

Das schwerwiegendste dieser Probleme wird als „Hoch“ eingestuft, da die Möglichkeit besteht, dass eine lokale Schadanwendung ohne ausdrückliche Benutzererlaubnis auf Daten außerhalb ihrer Berechtigungsstufen zugreifen könnte, beispielsweise auf vertrauliche Daten.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2014-9892 A-28770164

QC-CR#568717

Hoch Nexus 5, Nexus 7 (2013) 2. Juni 2014
CVE-2015-8944 A-28814213

QC-CR#786116

Hoch Nexus 6, Nexus 7 (2013) 30. April 2015
CVE-2014-9893 A-28747914

QC-CR#542223

Mäßig Nexus 5 27. März 2014
CVE-2014-9894 A-28749708

QC-CR#545736

Mäßig Nexus 7 (2013) 31. März 2014
CVE-2014-9895 A-28750150

QC-CR#570757

Mäßig Nexus 5, Nexus 7 (2013) 31. März 2014
CVE-2014-9896 A-28767593

QC-CR#551795

Mäßig Nexus 5, Nexus 7 (2013) 30. April 2014
CVE-2014-9897 A-28769856

QC-CR#563752

Mäßig Nexus 5 30. April 2014
CVE-2014-9898 A-28814690

QC-CR#554575

Mäßig Nexus 5, Nexus 7 (2013) 30. April 2014
CVE-2014-9899 A-28803909

QC-CR#547910

Mäßig Nexus 5 3. Juli 2014
CVE-2014-9900 A-28803952

QC-CR#570754

Mäßig Nexus 5, Nexus 7 (2013) 8. August 2014

Sicherheitslücke bezüglich der Offenlegung von Informationen im Kernel-Scheduler

Eine Schwachstelle bezüglich der Offenlegung von Informationen im Kernel-Scheduler könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als „Hoch“ eingestuft, da es zum Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2014-9903 A-28731691

Upstream-Kernel

Hoch Nexus 5X, Nexus 6P 21. Februar 2014

Sicherheitslücke bei der Offenlegung von Informationen im MediaTek Wi-Fi-Treiber (gerätespezifisch)

Eine Sicherheitslücke zur Offenlegung von Informationen im MediaTek Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Hoch“ eingestuft, da es zum Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3852 A-29141147*

M-ALPS02751738

Hoch Android One 12. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bei der Offenlegung von Informationen im USB-Treiber

Eine Sicherheitslücke zur Offenlegung von Informationen im USB-Treiber könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Hoch“ eingestuft, da es zum Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-4482 A-28619695

Upstream-Kernel

Hoch Alles Nexus 3. Mai 2016

Denial-of-Service-Schwachstelle in Qualcomm-Komponenten

Die folgende Tabelle enthält Sicherheitslücken, die Qualcomm-Komponenten betreffen, möglicherweise einschließlich des Wi-Fi-Treibers.

Das schwerwiegendste dieser Probleme wird als „Hoch“ eingestuft, da die Möglichkeit besteht, dass ein Angreifer einen vorübergehenden Remote-Denial-of-Service auslöst, der zum Hängen des Geräts oder zum Neustart führt.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2014-9901 A-28670333

QC-CR#548711

Hoch Nexus 7 (2013) 31. März 2014

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Google Play-Diensten

Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in den Google Play-Diensten könnte es einem lokalen Angreifer ermöglichen, den Factory Reset-Schutz zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird als „Mittel“ eingestuft, da die Möglichkeit besteht, den Werksreset-Schutz zu umgehen, was zu einem erfolgreichen Zurücksetzen des Geräts und dem Löschen aller seiner Daten führen könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3853 A-26803208* Mäßig Alles Nexus Keiner 4. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Framework-APIs

Eine Sicherheitslücke bezüglich der Rechteerweiterung in den Framework-APIs könnte es einer vorinstallierten Anwendung ermöglichen, ihre Intent-Filter-Priorität zu erhöhen, wenn die Anwendung aktualisiert wird, ohne dass der Benutzer benachrichtigt wird. Dieses Problem wird als mittelschwer eingestuft, da es dazu genutzt werden könnte, ohne ausdrückliche Benutzererlaubnis erweiterte Funktionen zu erlangen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-2497 A-27450489 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google-intern

Sicherheitslücke bezüglich der Offenlegung von Informationen in der Kernel-Netzwerkkomponente

Eine Schwachstelle bezüglich der Offenlegung von Informationen in der Kernel-Netzwerkkomponente könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-4486 A-28620102

Upstream-Kernel

Mäßig Alles Nexus 3. Mai 2016

Sicherheitslücke bezüglich der Offenlegung von Informationen in der Kernel-Soundkomponente

Eine Schwachstelle bezüglich der Offenlegung von Informationen in der Kernel-Soundkomponente könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittelschwer eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-4569 A-28980557

Upstream-Kernel

Mäßig Alles Nexus 9. Mai 2016
CVE-2016-4578 A-28980217

Upstream-Kernel [ 2 ]

Mäßig Alles Nexus 11. Mai 2016

Sicherheitslücken in Qualcomm-Komponenten

Die folgende Tabelle enthält Sicherheitslücken, die Qualcomm-Komponenten betreffen, möglicherweise einschließlich des Bootloaders, des Kameratreibers, des Zeichentreibers, des Netzwerks, des Soundtreibers und des Videotreibers.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3854 QC-CR#897326 Hoch Keiner Februar 2016
CVE-2016-3855 QC-CR#990824 Hoch Keiner Mai 2016
CVE-2016-2060 QC-CR#959631 Mäßig Keiner April 2016

Häufige Fragen und Antworten

In diesem Abschnitt werden häufige Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Sicherheitspatch-Level vom 01.08.2016 oder höher beheben alle Probleme, die mit dem Sicherheitspatch-String-Level 2016-08-01 verbunden sind. Sicherheitspatch-Level vom 05.08.2016 oder höher beheben alle Probleme, die mit dem Sicherheitspatch-String-Level 2016-08-05 verbunden sind. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie im Hilfecenter . Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf [ro.build.version.security_patch]:[2016-08-01] oder [ro.build.version.security_patch]:[2016-08-05] festlegen.

2. Warum enthält dieses Bulletin zwei Sicherheitspatch-Level-Strings?

Dieses Bulletin enthält zwei Sicherheitspatch-Level-Strings, um Android-Partnern die Flexibilität zu geben, schneller vorzugehen und eine Teilmenge von Schwachstellen zu beheben, die auf allen Android-Geräten ähnlich sind. Android-Partner werden aufgefordert, alle in diesem Bulletin genannten Probleme zu beheben und die neueste Sicherheitspatch-Stufe zu verwenden.

Geräte, die die Sicherheitspatch-Stufe vom 5. August 2016 oder neuer verwenden, müssen alle anwendbaren Patches in diesem (und früheren) Sicherheitsbulletins enthalten.

Geräte, die die Sicherheitspatchstufe vom 1. August 2016 verwenden, müssen alle mit dieser Sicherheitspatchstufe verbundenen Probleme sowie Korrekturen für alle in früheren Sicherheitsbulletins gemeldeten Probleme enthalten. Geräte, die die Sicherheitspatch-Stufe vom 1. August 2016 verwenden, können auch eine Teilmenge von Fixes enthalten, die mit der Sicherheitspatch-Stufe vom 5. August 2016 verbunden sind.

3 . Wie kann ich feststellen, welche Nexus-Geräte von den einzelnen Problemen betroffen sind?

In den Abschnitten mit den Details zu den Sicherheitslücken vom 01.08.2016 und 05.08.2016 enthält jede Tabelle eine Spalte „Aktualisierte Nexus-Geräte“, die den Bereich der betroffenen Nexus-Geräte abdeckt, die für jedes Problem aktualisiert wurden. Diese Spalte bietet einige Optionen:

  • Alle Nexus-Geräte : Wenn ein Problem alle Nexus-Geräte betrifft, wird in der Tabelle in der Spalte „ Aktualisierte Nexus-Geräte “ „Alle Nexus“ angezeigt. „Alle Nexus“ umfasst die folgenden unterstützten Geräte : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player und Pixel C.
  • Einige Nexus-Geräte : Wenn ein Problem nicht alle Nexus-Geräte betrifft, werden die betroffenen Nexus-Geräte in der Spalte „Aktualisierte Nexus-Geräte“ aufgeführt.
  • Keine Nexus-Geräte : Wenn keine Nexus-Geräte von dem Problem betroffen sind, wird in der Tabelle in der Spalte „Aktualisierte Nexus-Geräte“ „Keine“ angezeigt.

4. Worauf beziehen sich die Einträge in der Spalte „Referenzen“?

Einträge in der Spalte „Referenzen“ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation identifiziert, zu der der Referenzwert gehört. Diese Präfixe werden wie folgt zugeordnet:

Präfix Referenz
A- Android-Fehler-ID
QC- Qualcomm-Referenznummer
M- MediaTek-Referenznummer
N- NVIDIA-Referenznummer

Überarbeitungen

  • 1. August 2016: Bulletin veröffentlicht.
  • 2. August 2016: Bulletin überarbeitet, um AOSP-Links aufzunehmen.
  • 16. August 2016: CVE-2016-3856 wurde in CVE-2016-2060 korrigiert und die Referenz-URL aktualisiert.
  • 21. Oktober 2016: Tippfehler in CVE-2016-4486 korrigiert.