Diterbitkan 06 September 2016 | Diperbarui 12 September 2016
Buletin Keamanan Android berisi detail kerentanan keamanan yang memengaruhi perangkat Android. Bersamaan dengan buletin, kami telah merilis pembaruan keamanan untuk perangkat Nexus melalui pembaruan over-the-air (OTA). Gambar firmware Nexus juga telah dirilis ke situs Pengembang Google . Tingkat Patch Keamanan 06 September 2016 atau lebih baru mengatasi masalah ini. Lihat dokumentasi untuk mempelajari cara memeriksa tingkat patch keamanan. Perangkat Nexus yang didukung akan menerima pembaruan OTA tunggal dengan tingkat patch keamanan 06 September 2016.
Mitra diberi tahu tentang masalah yang dijelaskan dalam buletin pada 05 Agustus 2016 atau sebelumnya. Jika berlaku, patch kode sumber untuk masalah ini telah dirilis ke repositori Android Open Source Project (AOSP). Buletin ini juga menyertakan tautan ke patch di luar AOSP.
Yang paling parah dari masalah ini adalah kerentanan keamanan Kritis yang dapat mengaktifkan eksekusi kode jarak jauh pada perangkat yang terpengaruh melalui beberapa metode seperti email, penelusuran web, dan MMS saat memproses file media. Penilaian tingkat keparahan didasarkan pada efek eksploitasi kerentanan yang mungkin terjadi pada perangkat yang terpengaruh, dengan asumsi platform dan mitigasi layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil dilewati.
Kami tidak memiliki laporan tentang eksploitasi atau penyalahgunaan pelanggan aktif atas masalah yang baru dilaporkan ini. Lihat bagian mitigasi layanan Android dan Google untuk detail tentang perlindungan platform keamanan Android dan perlindungan layanan seperti SafetyNet, yang meningkatkan keamanan platform Android.
Kami mendorong semua pelanggan untuk menerima pembaruan ini ke perangkat mereka.
Pengumuman
- Buletin ini memiliki tiga string tingkat patch keamanan untuk memberikan fleksibilitas kepada mitra Android untuk bergerak lebih cepat guna memperbaiki subset kerentanan yang serupa di semua perangkat Android. Lihat Pertanyaan dan jawaban umum untuk informasi tambahan:
- 09-01-2016 : String tingkat patch keamanan parsial. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-09-2016 (dan semua string tingkat patch keamanan sebelumnya) telah diatasi.
- 09-05-2016 : String tingkat patch keamanan parsial. String tingkat tambalan keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 01-09-2016 dan 09-05-2016 (dan semua string tingkat tambalan keamanan sebelumnya) telah diatasi.
- 09-06-2016 : String tingkat patch keamanan lengkap, yang membahas masalah yang ditemukan setelah mitra diberi tahu tentang sebagian besar masalah dalam buletin ini. String tingkat patch keamanan ini menunjukkan bahwa semua masalah yang terkait dengan 09-01-2016, 09-06-2016, dan 09-06-2016 (dan semua string tingkat tambalan keamanan sebelumnya) telah diatasi.
- Perangkat Nexus yang didukung akan menerima pembaruan OTA tunggal dengan tingkat patch keamanan 06 September 2016.
Mitigasi layanan Android dan Google
Ini adalah ringkasan mitigasi yang disediakan oleh platform keamanan Android dan perlindungan layanan seperti SafetyNet. Kemampuan ini mengurangi kemungkinan kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi untuk banyak masalah di Android menjadi lebih sulit dengan peningkatan versi platform Android yang lebih baru. Kami mendorong semua pengguna untuk memperbarui ke versi Android terbaru jika memungkinkan.
- Tim Keamanan Android secara aktif memantau penyalahgunaan dengan Verify Apps dan SafetyNet , yang dirancang untuk memperingatkan pengguna tentang Aplikasi yang Berpotensi Berbahaya . Verifikasi Aplikasi diaktifkan secara default pada perangkat dengan Layanan Seluler Google , dan sangat penting bagi pengguna yang memasang aplikasi dari luar Google Play. Alat rooting perangkat dilarang di Google Play, tetapi Verify Apps memperingatkan pengguna saat mereka mencoba menginstal aplikasi rooting yang terdeteksi—dari mana pun asalnya. Selain itu, Verifikasi Aplikasi berupaya mengidentifikasi dan memblokir pemasangan aplikasi berbahaya yang diketahui yang mengeksploitasi kerentanan eskalasi hak istimewa. Jika aplikasi tersebut telah diinstal, Verify Apps akan memberi tahu pengguna dan mencoba menghapus aplikasi yang terdeteksi.
- Jika sesuai, aplikasi Google Hangouts dan Messenger tidak secara otomatis meneruskan media ke proses seperti Mediaserver.
Ucapan Terima Kasih
Kami ingin mengucapkan terima kasih kepada para peneliti ini atas kontribusi mereka:
- Cory Pruce dari Universitas Carnegie Mellon: CVE-2016-3897
- Gengjia Chen ( @chengjia4574 ) dan pjf dari IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
- Hao Qin dari Lab Riset Keamanan, Cheetah Mobile : CVE-2016-3863
- Jann Horn dari Google Project Zero: CVE-2016-3885
- Jianqiang Zhao ( @jianqiangzhao ) dan pjf dari IceSword Lab, Qihoo 360: CVE-2016-3858
- Joshua Drake ( @jduck ): CVE-2016-3861
- Madhu Priya Murugan dari CISPA, Universitas Saarland: CVE-2016-3896
- Makoto Onuki dari Google: CVE-2016-3876
- Tandai Merek Google Project Zero: CVE-2016-3861
- Penonton Maksimum Keamanan Android: CVE-2016-3888
- Max Spector dan Quan To Keamanan Android: CVE-2016-3889
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-3895
- Nathan Crandall ( @natecray ) dari Tim Keamanan Produk Tesla Motors: Penemuan masalah tambahan terkait CVE-2016-2446
- Oleksiy Vyalov dari Google: CVE-2016-3890
- Oliver Chang dari Tim Keamanan Google Chrome: CVE-2016-3880
- Peng Xiao, Chengming Yang, Ning You, Chao Yang, dan lagu Yang, dari Alibaba Mobile Security Group: CVE-2016-3859
- Ronald L. Loor Vargas ( @loor_rlv ) dari TIM Lv51: CVE-2016-3886
- Sagi Kedmi, Peneliti IBM Security X-Force: CVE-2016-3873
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- Seven Shen ( @lingtongshen ) dari TrendMicro: CVE-2016-3894
- Tim Strazzere ( @timstrazz ) dari SentinelOne / RedNaga: CVE-2016-3862
- trotmaster ( @trotmaster99 ): CVE-2016-3883
- Victor Chang dari Google: CVE-2016-3887
- Vignesh Venkatasubramanian dari Google: CVE-2016-3881
- Weichao Sun ( @sunblate ) dari Alibaba Inc: CVE-2016-3878
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), dan Xuxian Jiang dari Tim C0RE : CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- Wish Wu (吴潍浠) ( @wish_wu ) dari Trend Micro Inc .: CVE-2016-3892
- Xingyu He (何星宇) ( @Spid3r_ ) dari Alibaba Inc : CVE-2016-3879
- Yacong Gu dari TCA Lab, Institute of Software, Chinese Academy of Sciences: CVE-2016-3884
- Yuru Shao dari Universitas Michigan Ann Arbor: CVE-2016-3898
Tingkat patch keamanan 09-01 2016—Detail kerentanan keamanan
Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk level patch 09-01-2016. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Ketika beberapa perubahan terkait dengan satu bug, referensi tambahan ditautkan ke nomor yang mengikuti ID bug.
Kerentanan eksekusi kode jarak jauh di LibUtils
Kerentanan eksekusi kode jarak jauh di LibUtils dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk mengeksekusi kode arbitrer dalam konteks proses istimewa. Masalah ini dinilai sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam aplikasi yang menggunakan pustaka ini.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3861 | A-29250543 [ 2 ] [ 3 ] [ 4 ] | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 9 Juni 2016 |
Kerentanan eksekusi kode jarak jauh di Mediaserver
Kerentanan eksekusi kode jarak jauh di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan kerusakan memori selama file media dan pemrosesan data. Masalah ini dinilai sebagai Kritis karena kemungkinan eksekusi kode jarak jauh dalam konteks proses Mediaserver.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3862 | A-29270469 | Kritis | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Juni 2016 |
Kerentanan eksekusi kode jarak jauh di MediaMuxer
Kerentanan eksekusi kode jarak jauh di MediaMuxer dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk mengeksekusi kode arbitrer dalam konteks proses yang tidak memiliki hak istimewa. Masalah ini dinilai Tinggi karena kemungkinan eksekusi kode jarak jauh dalam aplikasi yang menggunakan MediaMuxer.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3863 | A-29161888 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 6 Juni 2016 |
Peningkatan kerentanan hak istimewa di Mediaserver
Peningkatan kerentanan hak istimewa di Mediaserver dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks proses istimewa. Masalah ini dinilai sebagai Tinggi karena dapat digunakan untuk mendapatkan akses lokal ke kemampuan yang lebih tinggi, yang biasanya tidak dapat diakses oleh aplikasi pihak ketiga.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3870 | A-29421804 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Juni 2016 |
CVE-2016-3871 | A-29422022 [ 2 ] [ 3 ] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Juni 2016 |
CVE-2016-3872 | A-29421675 [ 2 ] | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Juni 2016 |
Peningkatan kerentanan hak istimewa di boot perangkat
Peningkatan hak istimewa selama urutan boot dapat memungkinkan penyerang jahat lokal untuk boot ke mode aman meskipun dinonaktifkan. Masalah ini dinilai sebagai Tinggi karena merupakan pintasan lokal dari persyaratan interaksi pengguna untuk setiap pengembang atau modifikasi pengaturan keamanan.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3875 | A-26251884 | Tinggi | Tidak ada* | 6.0, 6.0.1 | internal Google |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.
Peningkatan kerentanan hak istimewa di Pengaturan
Peningkatan hak istimewa di Pengaturan dapat memungkinkan penyerang jahat lokal untuk boot ke mode aman meskipun dinonaktifkan. Masalah ini dinilai sebagai Tinggi karena merupakan pintasan lokal dari persyaratan interaksi pengguna untuk setiap pengembang atau modifikasi pengaturan keamanan.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3876 | A-29900345 | Tinggi | Semua Nexus | 6.0, 6.0.1, 7.0 | internal Google |
Penolakan kerentanan layanan di Mediaserver
Kerentanan penolakan layanan di Mediaserver dapat memungkinkan penyerang menggunakan file yang dibuat khusus untuk menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3899 | A-29421811 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 Juni 2016 |
CVE-2016-3878 | A-29493002 | Tinggi | Semua Nexus* | 6.0, 6.0.1 | 17 Juni 2016 |
CVE-2016-3879 | A-29770686 | Tinggi | Semua Nexus* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Juni 2016 |
CVE-2016-3880 | A-25747670 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | internal Google |
CVE-2016-3881 | A-30013856 | Tinggi | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | internal Google |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.
Peningkatan kerentanan hak istimewa di Telephony
Peningkatan kerentanan hak istimewa dalam komponen Telephony dapat memungkinkan aplikasi jahat lokal untuk mengirim pesan SMS premium yang tidak sah. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan peningkatan kemampuan tanpa izin pengguna yang eksplisit.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3883 | A-28557603 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3 Mei 2016 |
Peningkatan kerentanan hak istimewa di Layanan Pengelola Pemberitahuan
Peningkatan kerentanan hak istimewa di Layanan Manajer Pemberitahuan dapat memungkinkan aplikasi berbahaya lokal untuk melewati perlindungan sistem operasi yang mengisolasi data aplikasi dari aplikasi lain. Masalah ini dinilai sebagai Sedang karena merupakan pintasan lokal dari persyaratan interaksi pengguna, seperti akses ke fungsionalitas yang biasanya memerlukan inisiasi pengguna atau izin pengguna.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3884 | A-29421441 | Sedang | Semua Nexus | 6.0, 6.0.1, 7.0 | 15 Juni 2016 |
Peningkatan kerentanan hak istimewa di Debuggerd
Peningkatan kerentanan hak istimewa dalam debugger Android terintegrasi dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks debugger Android. Masalah ini dinilai sebagai tingkat keparahan Sedang karena kemungkinan eksekusi kode arbitrer lokal dalam proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3885 | A-29555636 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 21 Juni 2016 |
Peningkatan kerentanan hak istimewa di System UI Tuner
Peningkatan hak istimewa di System UI Tuner dapat memungkinkan pengguna jahat lokal untuk mengubah pengaturan yang dilindungi saat perangkat dikunci. Masalah ini dinilai sebagai Sedang karena merupakan pintasan lokal dari izin pengguna.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3886 | A-30107438 | Sedang | Semua Nexus | 7.0 | 23 Juni 2016 |
Peningkatan kerentanan hak istimewa di Pengaturan
Peningkatan kerentanan hak istimewa di Pengaturan dapat memungkinkan aplikasi jahat lokal untuk melewati perlindungan sistem operasi untuk pengaturan VPN. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mendapatkan akses ke data yang berada di luar tingkat izin aplikasi.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3887 | A-29899712 | Sedang | Semua Nexus | 7.0 | internal Google |
Peningkatan kerentanan hak istimewa di SMS
Peningkatan kerentanan hak istimewa dalam SMS dapat memungkinkan penyerang lokal untuk mengirim pesan SMS premium sebelum perangkat disediakan. Ini dinilai sebagai Sedang karena kemungkinan melewati Perlindungan Penyetelan Ulang Pabrik, yang seharusnya mencegah perangkat digunakan sebelum disetel.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3888 | A-29420123 | Sedang | Semua Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | internal Google |
Peningkatan kerentanan hak istimewa di Pengaturan
Peningkatan kerentanan hak istimewa di Pengaturan dapat memungkinkan penyerang lokal untuk melewati Perlindungan Penyetelan Ulang Pabrik dan mendapatkan akses ke perangkat. Ini dinilai sebagai Sedang karena kemungkinan melewati Perlindungan Penyetelan Ulang Pabrik, yang dapat menyebabkan penyetelan ulang perangkat berhasil dan menghapus semua datanya.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3889 | A-29194585 [ 2 ] | Sedang | Semua Nexus | 6.0, 6.0.1, 7.0 | internal Google |
Peningkatan kerentanan hak istimewa di Java Debug Wire Protocol
Peningkatan kerentanan hak istimewa di Java Debug Wire Protocol dapat memungkinkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks aplikasi sistem yang ditingkatkan. Masalah ini dinilai sebagai Sedang karena memerlukan konfigurasi perangkat yang tidak umum.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3890 | A-28347842 [ 2 ] | Sedang | Tidak ada* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | internal Google |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan pengungkapan informasi di Mediaserver
Kerentanan pengungkapan informasi di Mediaserver dapat mengaktifkan aplikasi berbahaya lokal untuk mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mengakses data sensitif tanpa izin.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3895 | A-29983260 | Sedang | Semua Nexus | 6.0, 6.0.1, 7.0 | 4 Juli 2016 |
Kerentanan pengungkapan informasi di AOSP Mail
Kerentanan pengungkapan informasi di AOSP Mail dapat memungkinkan aplikasi jahat lokal untuk mendapatkan akses ke informasi pribadi pengguna. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mengakses data secara tidak benar tanpa izin.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3896 | A-29767043 | Sedang | Tidak ada* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Juli 2016 |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan pengungkapan informasi di Wi-Fi
Kerentanan pengungkapan informasi dalam konfigurasi Wi-Fi dapat memungkinkan aplikasi mengakses informasi sensitif. Masalah ini dinilai sebagai Sedang karena dapat digunakan untuk mengakses data tanpa izin.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3897 | A-25624963 [ 2 ] | Sedang | Tidak ada* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 November 2015 |
* Perangkat Nexus yang didukung di Android 7.0 yang telah menginstal semua pembaruan yang tersedia tidak terpengaruh oleh kerentanan ini.
Kerentanan penolakan layanan di Telephony
Kerentanan penolakan layanan di komponen Telephony dapat mengaktifkan aplikasi berbahaya lokal untuk mencegah panggilan 911 TTY dari layar terkunci. Masalah ini dinilai sebagai Sedang karena kemungkinan penolakan layanan pada fungsi kritis.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Versi AOSP yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|---|
CVE-2016-3898 | A-29832693 | Sedang | Semua Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Juni 2016 |
Tingkat patch keamanan 09-05 2016—Detail kerentanan
Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk level patch 09-05-2016. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Ketika beberapa perubahan terkait dengan satu bug, referensi tambahan ditautkan ke nomor yang mengikuti ID bug.
Peningkatan kerentanan hak istimewa dalam subsistem keamanan kernel
Peningkatan kerentanan hak istimewa dalam subsistem keamanan kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2014-9529 | A-29510361 | Kritis | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One | 6 Januari 2015 |
CVE-2016-4470 | A-29823941 | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 15 Juni 2016 |
Peningkatan kerentanan hak istimewa dalam subsistem jaringan kernel
Peningkatan kerentanan hak istimewa dalam subsistem jaringan kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2013-7446 | A-2919002 | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 18 November 2015 |
Peningkatan kerentanan hak istimewa di subsistem kernel netfilter
Peningkatan kerentanan hak istimewa dalam subsistem netfilter kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3134 | A-28940694 | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 9 Maret 2016 |
Peningkatan kerentanan hak istimewa di driver USB kernel
Peningkatan kerentanan hak istimewa di driver USB kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3951 | A-28744625 Kernel hulu [ 2 ] | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 6 April 2016 |
Peningkatan kerentanan hak istimewa di subsistem suara kernel
Peningkatan kerentanan hak istimewa dalam subsistem suara kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2014-4655 | A-29916012 | Tinggi | Nexus 5, Nexus 6, Nexus 9, Nexus Player | 26 Juni 2014 |
Peningkatan kerentanan hak istimewa di dekoder kernel ASN.1
Peningkatan kerentanan hak istimewa dalam dekoder kernel ASN.1 dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-2053 | A-28751627 | Tinggi | Nexus 5X, Nexus 6P | 25 Januari 2016 |
Peningkatan kerentanan hak istimewa di lapisan antarmuka radio Qualcomm
Peningkatan kerentanan hak istimewa di lapisan antarmuka radio Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3864 | A-28823714* QC-CR#913117 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 29 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di driver subsistem Qualcomm
Peningkatan kerentanan hak istimewa pada driver subsistem Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3858 | A-28675151 QC-CR#1022641 | Tinggi | Nexus 5X, Nexus 6P | 9 Mei 2016 |
Peningkatan kerentanan hak istimewa di driver jaringan kernel
Peningkatan kerentanan hak istimewa dalam driver jaringan kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-4805 | A-28979703 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 | 15 Mei 2016 |
Peningkatan kerentanan hak istimewa di driver layar sentuh Synaptics
Peningkatan kerentanan hak istimewa di driver layar sentuh Synaptics dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3865 | A-28799389* | Tinggi | Nexus 5X, Nexus 9 | 16 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di driver kamera Qualcomm
Peningkatan kerentanan hak istimewa pada driver kamera Qualcomm dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3859 | A-28815326* QC-CR#1034641 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 17 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di driver suara Qualcomm
Peningkatan kerentanan hak istimewa di driver suara Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3866 | A-28868303* QC-CR#1032820 | Tinggi | Nexus 5X, Nexus 6, Nexus 6P | 18 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di driver Qualcomm IPA
Peningkatan kerentanan hak istimewa pada driver Qualcomm IPA dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3867 | A-28919863* QC-CR#1037897 | Tinggi | Nexus 5X, Nexus 6P | 21 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di driver daya Qualcomm
Peningkatan kerentanan hak istimewa di driver daya Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3868 | A-28967028* QC-CR#1032875 | Tinggi | Nexus 5X, Nexus 6P | 25 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di driver Broadcom Wi-Fi
Peningkatan kerentanan hak istimewa di driver Broadcom Wi-Fi dapat mengaktifkan aplikasi berbahaya lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3869 | A-29009982* B-RB#96070 | Tinggi | Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C | 27 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di sistem file kernel eCryptfs
Peningkatan kerentanan hak istimewa dalam sistem file eCryptfs kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-1583 | A-29444228 Kernel hulu | Tinggi | Piksel C | 1 Juni 2016 |
Peningkatan kerentanan hak istimewa di kernel NVIDIA
Peningkatan kerentanan hak istimewa di kernel NVIDIA dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai tingkat keparahan tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3873 | A-29518457* N-CVE-2016-3873 | Tinggi | Nexus 9 | 20 Juni 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Peningkatan kerentanan hak istimewa di driver Qualcomm Wi-Fi
Peningkatan kerentanan hak istimewa pada driver Qualcomm Wi-Fi dapat mengaktifkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3874 | A-29944562 QC-CR#997797 [ 2 ] | Tinggi | Nexus 5X | 1 Juli 2016 |
Penolakan kerentanan layanan di subsistem jaringan kernel
Kerentanan penolakan layanan di subsistem jaringan kernel dapat memungkinkan penyerang menyebabkan perangkat hang atau reboot. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan jarak jauh sementara.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2015-1465 | A-29506807 | Tinggi | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One | 3 Februari 2015 |
CVE-2015-5364 | A-29507402 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 30 Juni 2015 |
Penolakan kerentanan layanan dalam sistem file kernel ext4
Kerentanan penolakan layanan di sistem file kernel ext4 dapat memungkinkan penyerang menyebabkan penolakan layanan permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat. Masalah ini dinilai Tinggi karena kemungkinan penolakan layanan permanen lokal.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2015-8839 | A-28760453* | Tinggi | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 April 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi di driver Qualcomm SPMI
Kerentanan pengungkapan informasi di driver Qualcomm SPMI dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3892 | A-28760543* QC-CR#1024197 | Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 13 Mei 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi dalam codec suara Qualcomm
Kerentanan pengungkapan informasi dalam codec suara Qualcomm dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3893 | A-29512527 QC-CR#856400 | Sedang | Nexus 6P | 20 Juni 2016 |
Kerentanan pengungkapan informasi di komponen Qualcomm DMA
Kerentanan pengungkapan informasi dalam komponen Qualcomm DMA dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-3894 | A-29618014* QC-CR#1042033 | Sedang | Nexus 6 | 23 Juni 2016 |
* Patch untuk masalah ini tidak tersedia untuk umum. Pembaruan terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .
Kerentanan pengungkapan informasi dalam subsistem jaringan kernel
Kerentanan pengungkapan informasi di subsistem jaringan kernel dapat memungkinkan aplikasi jahat lokal mengakses data di luar tingkat izinnya. Masalah ini dinilai sebagai Sedang karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-4998 | A-29637687 Kernel hulu [ 2 ] | Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 24 Juni 2016 |
Penolakan kerentanan layanan di subsistem jaringan kernel
Kerentanan penolakan layanan di subsistem jaringan kernel dapat memungkinkan penyerang memblokir akses ke kemampuan Wi-Fi. Masalah ini dinilai sebagai Sedang karena kemungkinan penolakan layanan jarak jauh sementara dari kemampuan Wi-Fi.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2015-2922 | A-29409847 | Sedang | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 April 2015 |
Kerentanan dalam komponen Qualcomm
Tabel di bawah ini berisi kerentanan keamanan yang memengaruhi komponen Qualcomm, kemungkinan termasuk bootloader, driver kamera, driver karakter, jaringan, driver suara, dan driver video.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-2469 | QC-CR#997025 | Tinggi | Tidak ada | Juni 2016 |
CVE-2016-2469 | QC-CR#997015 | Sedang | Tidak ada | Juni 2016 |
Tingkat patch keamanan 09-06 2016—Detail kerentanan
Di bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk tingkat patch 09-06-2016. Ada deskripsi masalah, alasan tingkat keparahan, dan tabel dengan CVE, referensi terkait, tingkat keparahan, perangkat Nexus yang diperbarui, versi AOSP yang diperbarui (jika berlaku), dan tanggal yang dilaporkan. Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Ketika beberapa perubahan terkait dengan satu bug, referensi tambahan ditautkan ke nomor yang mengikuti ID bug.
Peningkatan kerentanan hak istimewa di subsistem memori bersama kernel
Peningkatan kerentanan hak istimewa dalam subsistem memori bersama kernel dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Kritis karena kemungkinan kompromi perangkat permanen lokal, yang mungkin memerlukan reflash sistem operasi untuk memperbaiki perangkat.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-5340 | A-30652312 QC-CR#1008948 | Kritis | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 Juli 2016 |
Peningkatan kerentanan hak istimewa dalam komponen jaringan Qualcomm
Peningkatan kerentanan hak istimewa dalam komponen jaringan Qualcomm dapat memungkinkan aplikasi jahat lokal untuk mengeksekusi kode arbitrer dalam konteks kernel. Masalah ini dinilai sebagai Tinggi karena pertama-tama membutuhkan kompromi proses istimewa.
CVE | Referensi | Kerasnya | Perangkat Nexus yang diperbarui | Tanggal dilaporkan |
---|---|---|---|---|
CVE-2016-2059 | A-27045580 QC-CR#974577 | Tinggi | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Februari 2016 |
Pertanyaan dan Jawaban Umum
Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca buletin ini.
1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?
Tingkat Patch Keamanan 01-09-01 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string tambalan keamanan 09-01-2016. Security Patch Levels 2016-09-05 atau yang lebih baru mengatasi semua masalah yang terkait dengan level string patch keamanan 09-05 2016. Tingkat Patch Keamanan 06-09-2016 atau yang lebih baru mengatasi semua masalah yang terkait dengan tingkat string tambalan keamanan 09-06-2016. Lihat pusat bantuan untuk petunjuk tentang cara memeriksa tingkat patch keamanan. Produsen perangkat yang menyertakan pembaruan ini harus menyetel level string patch ke: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], atau [ro.build.version.security_patch]:[06-09-2016].
2. Mengapa buletin ini memiliki tiga string tingkat patch keamanan?
This bulletin has three security patch level strings so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.
Devices that use the September 6, 2016 security patch level or newer must include all applicable patches in this (and previous) security bulletins. This patch level was created to addresses issues that were discovered after partners were first notified of most issues in this bulletin.
Devices that use September 5, 2016 security patch level must include all issues associated with that security patch level, the September 1, 2016 security patch level and fixes for all issues reported in previous security bulletins. Devices that use the September 5, 2016 security patch level may also include a subset of fixes associated with the September 6, 2016 security patch level.
Devices that use September 1, 2016 security patch level must include all issues associated with that security patch level as well as fixes for all issues reported in previous security bulletins. Devices that use the September 1, 2016 security patch level may also include a subset of fixes associated with the September 5, 2016 and September 6, 2016 security patch levels.
3 . How do I determine which Nexus devices are affected by each issue?
In the 2016-09-01 , 2016-09-05 , and 2016-09-06 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:
- All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
- Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
- No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.
4. What do the entries in the references column map to?
Entri di bawah kolom Referensi dari tabel detail kerentanan mungkin berisi awalan yang mengidentifikasi organisasi tempat nilai referensi berada. These prefixes map as follows:
Awalan | Referensi |
---|---|
SEBUAH- | ID bug Android |
QC- | Nomor referensi Qualcomm |
M- | Nomor referensi MediaTek |
N- | Nomor referensi NVIDIA |
B- | Nomor referensi Broadcom |
Revisi
- September 06, 2016: Bulletin published.
- September 07, 2016: Bulletin revised to include AOSP links.
- September 12, 2016: Bulletin revised to update attribution for CVE-2016-3861 and remove CVE-2016-3877.