עלון אבטחה של אנדרואיד - אוקטובר 2016

פורסם ב-03 באוקטובר 2016 | עודכן ב-4 באוקטובר 2016

עלון האבטחה של אנדרואיד מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד. לצד העלון, פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון אוויר (OTA). תמונות הקושחה של Nexus שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 5 באוקטובר 2016 או מאוחר יותר מטפלות בבעיות אלה. עיין בתיעוד כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה. מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 5 באוקטובר 2016.

שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-06 בספטמבר 2016 או קודם לכן. במידת האפשר, תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP). עלון זה כולל גם קישורים לתיקונים מחוץ ל-AOSP.

הבעיות החמורות ביותר הן פרצות אבטחה קריטיות בקוד ספציפי למכשיר שעלולות לאפשר ביצוע קוד מרחוק בהקשר של הליבה, מה שמוביל לאפשרות של פגיעה מקומית קבועה במכשיר, מה שעלול לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר . הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף הפחתת השירותים של אנדרואיד וגוגל לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet , המשפרות את האבטחה של פלטפורמת אנדרואיד.

אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הכרזות

  • בעלון זה כולל שתי מחרוזות ברמת תיקון אבטחה כדי לספק לשותפים של Android את הגמישות לתקן במהירות רבה יותר תת-קבוצה של פגיעויות הדומות בכל מכשירי Android. ראה שאלות ותשובות נפוצות למידע נוסף:
    • 2016-10-01 : מחרוזת רמת תיקון אבטחה חלקית. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-10-01 (וכל מחרוזות רמת תיקון האבטחה הקודמות) מטופלות.
    • 2016-10-05 : השלם מחרוזת רמת תיקון האבטחה. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2016-10-01 ו-2016-10-05 (וכל המחרוזות הקודמות ברמת תיקון האבטחה) מטופלות.
  • מכשירי Nexus נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 5 באוקטובר 2016.

הפחתות שירותי אנדרואיד וגוגל

זהו סיכום של ההקלות שמספקות פלטפורמת האבטחה אנדרואיד והגנות שירות כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet , שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק . אימות אפליקציות מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
  • בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון Mediaserver.

תודות

ברצוננו להודות לחוקרים אלו על תרומתם:

  • אנדרה טייקסירה ריזו: CVE-2016-3882
  • אנדריאה ביונדו: CVE-2016-3921
  • Daniel Micay מ-Copperhead Security: CVE-2016-3922
  • דמיטרי ויוקוב מגוגל: CVE-2016-7117
  • dosomder: CVE-2016-3931
  • Ecular Xu (徐健) של Trend Micro: CVE-2016-3920
  • Gengjia Chen ( @chengjia4574 ) ו- pjf ממעבדת IceSword, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-390516
  • Hang Zhang , Dongdong She , ו- Zhiyun Qian מ-UC Riverside: CVE-2015-8950
  • Hao Chen מ- Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
  • Jann Horn מ-Google Project Zero: CVE-2016-3900, CVE-2016-3885
  • ג'ייסון רוג'נה : CVE-2016-3917
  • Jianqiang Zhao ( @jianqiangzhao ) ו- pjf של IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-62016, CVE-62016, CVE-62016, CVE-62016 , CVE-2016-6682, CVE-2016-3930
  • ג'ושוע דרייק ( @jduck ): CVE-2016-3920
  • Maciej Szawłowski מצוות האבטחה של Google: CVE-2016-3905
  • Mark Brand של Google Project Zero: CVE-2016-6689
  • מיכאל בדנרסקי : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3933, CVE-2016-3932
  • Nightwatch Cybersecurity Research ( @nightwatchcyber ): CVE-2016-5348
  • Roee Hay, IBM Security X-Force חוקר: CVE-2016-6678
  • סמואל טאן מגוגל: CVE-2016-3925
  • סקוט באואר ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
  • Seven Shen ( @lingtongshen ) מצוות המחקר של Trend Micro Mobile Threat: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016,-6 CVE-2016-6694, CVE-2016-6695
  • Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), ו-Xuxian Jiang מצוות C0RE : CVE-2016-3909
  • Wenlin Yang ו-Guang Gong (龚广) ( @oldfresher ) מ-Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
  • Wish Wu (吴潍浠) ( @wish_wu) של Trend Micro Inc. : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
  • יונג שי מצוות Eagleye, SCC, Huawei: CVE-2016-3938
  • Zhanpeng Zhao (行之) ( @0xr0ot ) ממעבדת מחקר אבטחה, צ'יטה נייד : CVE-2016-3908

רמת תיקון אבטחה 2016-10-01—פרטי פגיעות

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-10-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.

הפגיעות של העלאת הרשאות ב-ServiceManager

העלאת הרשאות ב-ServiceManager יכולה לאפשר לאפליקציה זדונית מקומית לרשום שירותים שרירותיים שבדרך כלל יסופקו על ידי תהליך מיוחס, כגון system_server. נושא זה מדורג כחומרה גבוהה בשל האפשרות להתחזות לשירות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3900 A-29431260 [ 2 ] גָבוֹהַ הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 ביוני 2016

הפגיעות של העלאת הרשאות בשירות הגדרות הנעילה

פגיעות העלאת הרשאות בשירות הגדרות הנעילה עלולה לאפשר לאפליקציה זדונית מקומית לנקות את ה-PIN או הסיסמה של המכשיר. בעיה זו מדורגת כגבוהה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים עבור כל שינוי של מפתח או הגדרות אבטחה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3908 A-30003944 גָבוֹהַ הכל Nexus 6.0, 6.0.1, 7.0 6 ביולי 2016

הפגיעות של העלאת הרשאות ב-Mediaserver

הפגיעות של העלאת הרשאות ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3909 A-30033990 [ 2 ] גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 8 ביולי 2016
CVE-2016-3910 A-30148546 גָבוֹהַ הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13 ביולי 2016
CVE-2016-3913 A-30204103 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18 ביולי 2016

העלאת פגיעות הרשאות בתהליך זיגוטה

העלאת הרשאות בתהליך Zygote יכולה לאפשר לאפליקציה זדונית מקומית לבצע קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3911 A-30143607 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12 ביולי 2016

העלאת פגיעות הרשאות בממשקי API של מסגרת

הפגיעות של העלאת הרשאות בממשקי API של Framework עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מוגן. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3912 A-30202481 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 17 ביולי 2016

הפגיעות של העלאת הרשאות בטלפוניה

הפגיעות של העלאת הרשאות ברכיב הטלפוניה עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3914 A-30481342 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 ביולי 2016

הפגיעות של העלאת הרשאות בשירות המצלמה

הפגיעות של העלאת הרשאות בשירות המצלמה עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3915 A-30591838 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 1 באוגוסט 2016
CVE-2016-3916 א-30741779 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 2 באוגוסט 2016

העלאת פגיעות הרשאות בכניסה לטביעת אצבע

פגיעות העלאת הרשאות במהלך התחברות בטביעת אצבע עלולה לאפשר לבעלים של מכשיר זדוני להתחבר כחשבון משתמש אחר במכשיר. בעיה זו מדורגת כגבוהה בשל האפשרות של עקיפת מסך נעילה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3917 א-30744668 גָבוֹהַ הכל Nexus 6.0.1, 7.0 5 באוגוסט 2016

פגיעות של חשיפת מידע ב-AOSP Mail

פגיעות של חשיפת מידע ב-AOSP Mail עלולה לאפשר לאפליקציה זדונית מקומית לעקוף הגנות של מערכת הפעלה המבודדות נתוני יישומים מיישומים אחרים. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3918 א-30745403 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 באוגוסט 2016

פגיעות מניעת שירות ב-Wi-Fi

פגיעות של מניעת שירות ב-Wi-Fi עלולה לאפשר לתוקף מקומי קרוב ליצור נקודה חמה ולגרום לאתחול מחדש של המכשיר. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3882 א-29464811 גָבוֹהַ הכל Nexus 6.0, 6.0.1, 7.0 17 ביוני 2016

פגיעות מניעת שירות ב-GPS

פגיעות של מניעת שירות ברכיב ה-GPS עלולה לאפשר לתוקף מרוחק לגרום למכשיר להיתקע או לאתחל מחדש. בעיה זו מדורגת כגבוהה בשל האפשרות של מניעת שירות מרחוק זמנית.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-5348 A-29555864 גָבוֹהַ הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 20 ביוני 2016

פגיעות מניעת שירות ב-Mediaserver

פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. נושא זה מדורג כגבוה בשל האפשרות של מניעת שירות מרחוק.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3920 א-30744884 גָבוֹהַ הכל Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 באוגוסט 2016

הפגיעות של העלאת הרשאות ב-Framework Listener

הפגיעות של העלאת הרשאות ב-Framework Listener עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3921 A-29831647 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 25 ביוני 2016

הפגיעות של העלאת הרשאות בטלפוניה

הפגיעות של העלאת הרשאות בטלפוניה עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3922 A-30202619 לְמַתֵן הכל Nexus 6.0, 6.0.1, 7.0 17 ביולי 2016

העלאת פגיעות הרשאות בשירותי נגישות

הפגיעות של העלאת הרשאות בשירותי הנגישות עלולה לאפשר לאפליקציה זדונית מקומית ליצור אירועי מגע בלתי צפויים במכשיר שעלולים להוביל ליישומים לקבל דיאלוגים של הרשאות ללא הסכמה מפורשת של המשתמש. בעיה זו מדורגת כמתונה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים שבדרך כלל תצריך ייזום משתמש או הרשאת משתמש.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3923 א-30647115 לְמַתֵן הכל Nexus 7.0 Google פנימי

פגיעות של חשיפת מידע ב-Mediaserver

פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3924 A-30204301 לְמַתֵן הכל Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18 ביולי 2016

פגיעות מניעת שירות ב-Wi-Fi

פגיעות של מניעת שירות בשירות ה-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית למנוע שיחות Wi-Fi. נושא זה מדורג כבינוני בשל האפשרות של מניעת שירות לפונקציונליות האפליקציה.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים גרסאות AOSP מעודכנות תאריך דיווח
CVE-2016-3925 A-30230534 לְמַתֵן הכל Nexus 6.0, 6.0.1, 7.0 Google פנימי

רמת תיקון האבטחה של 2016-10-05—פרטי פגיעות

בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2016-10-05. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Nexus מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.

פגיעות של ביצוע קוד מרחוק במפענח ASN.1 של ליבה

הפגיעות של העלאת הרשאות במפענח הליבה ASN.1 עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-0758 A-29814470
גרעין במעלה הזרם
קריטי Nexus 5X, Nexus 6P 12 במאי 2016

פגיעות של ביצוע קוד מרחוק בתת-מערכת רשת ליבה

פגיעות של ביצוע קוד מרחוק בתת-מערכת הרשת של הליבה עלולה לאפשר לתוקף מרוחק לבצע קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-7117 A-30515201
גרעין במעלה הזרם
קריטי הכל Nexus Google פנימי

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3928 A-30019362*
M-ALPS02829384
קריטי אף אחד 6 ביולי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן זיכרון משותף של ליבה

הפגיעות של העלאת הרשאות במנהל ההתקן של הזיכרון המשותף של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-5340 A-30652312
QC-CR#1008948
קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 26 ביולי 2016

פגיעויות ברכיבי קוואלקום

הטבלה שלהלן מכילה פרצות אבטחה המשפיעות על רכיבי קוואלקום ומתוארות בפירוט נוסף בעלוני האבטחה של Qualcomm AMSS מרץ 2016 ו- Qualcomm AMSS אפריל 2016.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3926 A-28823953* קריטי Nexus 5, Nexus 5X, Nexus 6, Nexus 6P פנימי של קוואלקום
CVE-2016-3927 A-28823244* קריטי Nexus 5X, Nexus 6P פנימי של קוואלקום
CVE-2016-3929 A-28823675* גָבוֹהַ Nexus 5X, Nexus 6P פנימי של קוואלקום

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות ברכיב הרשת של Qualcomm

הפגיעות של העלאת הרשאות ברכיב הרשת של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-2059 A-27045580
QC-CR#974577
גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 4 בפברואר 2016

הפגיעות של העלאת הרשאות במנהל הבדיקה של NVIDIA MMC

הפגיעות של העלאת הרשאות במנהל התקן הבדיקה של NVIDIA MMC עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3930 A-28760138*
N-CVE-2016-3930
גָבוֹהַ Nexus 9 12 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm QSEE Communicator

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm QSEE Communicator עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3931 A-29157595
QC-CR#1036418
גָבוֹהַ Nexus 5X, Nexus 6, Nexus 6P, Android One 4 ביוני 2016

הפגיעות של העלאת הרשאות ב-Mediaserver

הפגיעות של העלאת הרשאות ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3932 A-29161895
M-ALPS02770870
גָבוֹהַ אף אחד 6 ביוני 2016
CVE-2016-3933 A-29421408*
N-CVE-2016-3933
גָבוֹהַ Nexus 9, Pixel C 14 ביוני 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של המצלמה של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3903 A-29513227
QC-CR#1040857
גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 20 ביוני 2016
CVE-2016-3934 A-30102557
QC-CR#789704
גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 12 ביולי 2016

הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm

הפגיעות של העלאת הרשאות במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2015-8951 A-30142668
QC-CR#948902
QC-CR#948902
גָבוֹהַ Nexus 5X, Nexus 6P, Android One 20 ביוני 2016

הפגיעות של העלאת הרשאות במנהל ההתקן של מנוע הקריפטו של קוואלקום

הפגיעות של העלאת הרשאות במנהל ההתקן של מנוע ההצפנה של Qualcomm עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3901 A-29999161
QC-CR#1046434
גָבוֹהַ Nexus 5X, Nexus 6, Nexus 6P, Android One 6 ביולי 2016
CVE-2016-3935 A-29999665
QC-CR#1046507
גָבוֹהַ Nexus 5X, Nexus 6, Nexus 6P, Android One 6 ביולי 2016

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3936 A-30019037*
M-ALPS02829568
גָבוֹהַ אף אחד 6 ביולי 2016
CVE-2016-3937 A-30030994*
M-ALPS02834874
גָבוֹהַ אף אחד 7 ביולי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של Qualcomm

הפגיעות של העלאת הרשאות במנהל התקן הווידאו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3938 A-30019716
QC-CR#1049232
גָבוֹהַ Nexus 5X, Nexus 6, Nexus 6P, Android One 7 ביולי 2016
CVE-2016-3939 A-30874196
QC-CR#1001224
גָבוֹהַ Nexus 5X, Nexus 6, Nexus 6P, Android One 15 באוגוסט 2016

הפגיעות של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics

הפגיעות של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3940 A-30141991* גָבוֹהַ Nexus 6P, Android One 12 ביולי 2016
CVE-2016-6672 A-30537088* גָבוֹהַ Nexus 5X 31 ביולי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA

הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6673 A-30204201*
N-CVE-2016-6673
גָבוֹהַ Nexus 9 17 ביולי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות ב-system_server

הפגיעות של העלאת הרשאות ב-system_server עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6674 A-30445380* גָבוֹהַ הכל Nexus 26 ביולי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3905 A-28061823
QC-CR#1001449
גָבוֹהַ Nexus 5X Google פנימי
CVE-2016-6675 א-30873776
QC-CR#1000861
גָבוֹהַ Nexus 5X, Android One 15 באוגוסט 2016
CVE-2016-6676 A-30874066
QC-CR#1000853
גָבוֹהַ Nexus 5X, Android One 15 באוגוסט 2016
CVE-2016-5342 א-30878283
QC-CR#1032174
גָבוֹהַ Android One 15 באוגוסט 2016

הפגיעות של העלאת הרשאות בתת-מערכת ביצועי ליבה

הפגיעות של העלאת הרשאות בתת-מערכת הביצועים של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2015-8955 A-29508816
גרעין במעלה הזרם
גָבוֹהַ Nexus 5X, Nexus 6P, Pixel C, Android One Google פנימי

פגיעות של חשיפת מידע בתת-מערכת ION של ליבה

פגיעות של חשיפת מידע בתת-מערכת ION של הליבה עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא הרשאת משתמש מפורשת.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2015-8950 A-29795245
QC-CR#1041735
גָבוֹהַ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 12 במאי 2016

פגיעות של חשיפת מידע במנהל ההתקן של NVIDIA GPU

פגיעות של חשיפת מידע במנהל ההתקן של NVIDIA GPU עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6677 A-30259955*
N-CVE-2016-6677
גָבוֹהַ Nexus 9 19 ביולי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm

הפגיעות של העלאת הרשאות במנהל ההתקן של התווים של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס, והקוד הפגיע אינו נגיש כעת.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2015-0572 A-29156684
QC-CR#848489
לְמַתֵן Nexus 5X, Nexus 6P 28 במאי 2016

פגיעות של חשיפת מידע במנהל התקן הסאונד של Qualcomm

פגיעות של חשיפת מידע במנהל התקן הסאונד של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-3860 A-29323142
QC-CR#1038127
לְמַתֵן Nexus 5X, Nexus 6P, Android One 13 ביוני 2016

פגיעות של חשיפת מידע במנהל ההתקן של Motorola USBNet

פגיעות של חשיפת מידע במנהל ההתקן של Motorola USBNet עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6678 A-29914434* לְמַתֵן Nexus 6 30 ביוני 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע ברכיבי קוואלקום

פגיעות של חשיפת מידע ברכיבי קוואלקום, כולל מנהל ההתקן של הקול, מנהל ההתקן של ה-IPA ומנהל ההתקן של ה-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6679 A-29915601
QC-CR#1000913 [ 2 ]
לְמַתֵן Nexus 5X, Android One 30 ביוני 2016
CVE-2016-3902 A-29953313*
QC-CR#1044072
לְמַתֵן Nexus 5X, Nexus 6P, 2 ביולי 2016
CVE-2016-6680 A-29982678*
QC-CR#1048052
לְמַתֵן Nexus 5X, Android One 3 ביולי 2016
CVE-2016-6681 A-30152182
QC-CR#1049521
לְמַתֵן Nexus 5X, Nexus 6P, Android One 14 ביולי 2016
CVE-2016-6682 A-30152501
QC-CR#1049615
לְמַתֵן Nexus 5X, Nexus 6P, Android One 14 ביולי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע ברכיבי ליבה

פגיעות של חשיפת מידע ברכיבי ליבה, כולל Binder, Sync, Bluetooth ומנהל התקן סאונד, עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6683 A-30143283* לְמַתֵן הכל Nexus 13 ביולי 2016
CVE-2016-6684 A-30148243* לְמַתֵן Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One 13 ביולי 2016
CVE-2015-8956 A-30149612* לְמַתֵן Nexus 5, Nexus 6P, Android One 14 ביולי 2016
CVE-2016-6685 A-30402628* לְמַתֵן Nexus 6P 25 ביולי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע בפרופילי NVIDIA

פגיעות של חשיפת מידע בפרופיל NVIDIA עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6686 A-30163101*
N-CVE-2016-6686
לְמַתֵן Nexus 9 15 ביולי 2016
CVE-2016-6687 A-30162222*
N-CVE-2016-6687
לְמַתֵן Nexus 9 15 ביולי 2016
CVE-2016-6688 A-30593080*
N-CVE-2016-6688
לְמַתֵן Nexus 9 2 באוגוסט 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות של חשיפת מידע בקרנל

פגיעות של חשיפת מידע ב-Binder עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6689 A-30768347* לְמַתֵן הכל Nexus 9 באוגוסט 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעות מניעת שירות בתת-מערכת רשת ליבה

פגיעות של מניעת שירות בתת-מערכת רשת הליבה עלולה לאפשר לתוקף לחסום גישה לחיבורי TCP ולגרום למניעת שירות זמנית מרחוק. בעיה זו מדורגת כמתונה מכיוון ששירותי סלולר עדיין זמינים והמכשיר עדיין ניתן לשימוש.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-5696 A-30809774
גרעין במעלה הזרם
לְמַתֵן Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 12 ביולי 2016

פגיעות מניעת שירות במנהל ההתקן של סאונד ליבה

פגיעות של מניעת שירות בליבה עלולה לאפשר לאפליקציה זדונית מקומית לגרום לאתחול מחדש של המכשיר. בעיה זו מדורגת כנמוכה מכיוון שהיא מניעת שירות זמנית.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6690 A-28838221* נָמוּך Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player 18 במאי 2016

* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

פגיעויות ברכיבי קוואלקום

הטבלה שלהלן מכילה רשימה של פרצות אבטחה המשפיעות על רכיבי קוואלקום.

CVE הפניות חוּמרָה מכשירי Nexus מעודכנים תאריך דיווח
CVE-2016-6691 QC-CR#978452 גָבוֹהַ אף אחד יולי 2016
CVE-2016-6692 QC-CR#1004933 גָבוֹהַ אף אחד אוגוסט 2016
CVE-2016-6693 QC-CR#1027585 גָבוֹהַ אף אחד אוגוסט 2016
CVE-2016-6694 QC-CR#1033525 גָבוֹהַ אף אחד אוגוסט 2016
CVE-2016-6695 QC-CR#1033540 גָבוֹהַ אף אחד אוגוסט 2016
CVE-2016-6696 QC-CR#1041130 גָבוֹהַ אף אחד אוגוסט 2016
CVE-2016-5344 QC-CR#993650 לְמַתֵן אף אחד אוגוסט 2016
CVE-2016-5343 QC-CR#1010081 לְמַתֵן אף אחד אוגוסט 2016

שאלות ותשובות נפוצות

סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

רמות תיקון האבטחה של 2016-10-01 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-10-01. רמות תיקון האבטחה של 2016-10-05 ואילך מטפלות בכל הבעיות הקשורות לרמת מחרוזת תיקון האבטחה של 2016-10-05. עיין במרכז העזרה לקבלת הוראות כיצד לבדוק את רמת תיקון האבטחה. יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל: [ro.build.version.security_patch]:[2016-10-01] או [ro.build.version.security_patch]:[2016-10-05].

2. מדוע בעלון זה כולל שתי מחרוזות ברמת תיקון אבטחה?

עלון זה כולל שתי מחרוזות ברמת תיקון האבטחה, כך שלשותפי אנדרואיד יש את הגמישות לתקן קבוצת משנה של פגיעויות הדומות בכל מכשירי האנדרואיד במהירות רבה יותר. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש במחרוזת העדכנית ביותר של תיקון האבטחה.

מכשירים המשתמשים ברמת תיקון האבטחה של 5 באוקטובר 2016 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעלוני אבטחה זה (וקודמים).

מכשירים המשתמשים ברמת תיקון האבטחה של 1 באוקטובר 2016 חייבים לכלול את כל הבעיות הקשורות לרמת תיקון האבטחה הזו, כמו גם תיקונים עבור כל הבעיות שדווחו בעלוני אבטחה קודמים.

3. כיצד אוכל לקבוע אילו מכשירי Nexus מושפעים מכל בעיה?

בקטעי פרטי פגיעות אבטחה של 2016-10-01 ו -2016-10-05 , לכל טבלה יש עמודת מכשירי Nexus מעודכנים המכסה את מגוון מכשירי ה-Nexus המושפעים המעודכנים עבור כל בעיה. בעמודה זו יש כמה אפשרויות:

  • כל מכשירי ה-Nexus : אם בעיה משפיעה על כל מכשירי ה-Nexus, הטבלה תכלול "כל מכשירי ה-Nexus" בעמודה מכשירי ה-Nexus המעודכנים . "All Nexus" מכיל את המכשירים הנתמכים הבאים: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player ו-Pixel C.
  • מכשירי Nexus מסוימים : אם בעיה לא משפיעה על כל מכשירי ה-Nexus, מכשירי ה-Nexus המושפעים רשומים בעמודה מכשירי Nexus מעודכנים .
  • ללא מכשירי Nexus : אם אף מכשירי Nexus שבהם פועל Android 7.0 לא מושפעים מהבעיה, הטבלה תכלול "ללא" בעמודה מכשירי Nexus מעודכנים .

4. למה מפות הערכים בעמודת הפניות?

ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה. הקידומות הללו ממפות באופן הבא:

קידומת התייחסות
א- מזהה באג אנדרואיד
QC- מספר סימוכין של קוואלקום
M- מספר סימוכין של MediaTek
נ- מספר סימוכין של NVIDIA
ב- מספר סימוכין של Broadcom

תיקונים

  • 3 באוקטובר 2016: פרסום העלון.
  • 4 באוקטובר 2016: העלון תוקן כך שיכלול קישורי AOSP וייחוסים לעדכון עבור CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 ו-CVE-2016-6696.