Бюллетень по безопасности Nexus

Опубликовано 4 апреля 2016 г. | Обновлено 6 апреля 2016 г.

К выходу ежемесячного бюллетеня о безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Перечисленные проблемы устранены в исправлении от 2 апреля 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus.

Мы сообщили партнерам об уязвимостях 16 марта 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP).

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).

Узнать больше об использовании рутинг-приложением уязвимости CVE-2015-1805 можно в Примечании по безопасности Android от 18 марта 2016 г. В этом обновлении она устранена. Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности. Уровень зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Уязвимость	CVE	Уровень серьезности
Удаленное выполнение кода через dhcpcd	CVE-2016-1503 CVE-2014-6060	Критический
Удаленное выполнение кода через медиакодек	CVE-2016-0834	Критический
Удаленное выполнение кода через mediaserver	CVE-2016-0835 CVE-2016-0836 CVE-2016-0837 CVE-2016-0838 CVE-2016-0839 CVE-2016-0840 CVE-2016-0841	Критический
Удаленное выполнение кода через libstagefright	CVE-2016-0842	Критический
Повышение привилегий через ядро	CVE-2015-1805	Критический
Повышение привилегий через модуль производительности процессора Qualcomm	CVE-2016-0843	Критический
Повышение привилегий через RF-компонент процессора Qualcomm	CVE-2016-0844	Критический
Повышение привилегий через ядро	CVE-2014-9322	Критический
Повышение привилегий через IMemory Native Interface	CVE-2016-0846	Высокий
Повышение привилегий через компонент Telecom	CVE-2016-0847	Высокий
Повышение привилегий через диспетчер загрузки	CVE-2016-0848	Высокий
Повышение привилегий во время процесса восстановления	CVE-2016-0849	Высокий
Повышение привилегий через Bluetooth	CVE-2016-0850	Высокий
Повышение привилегий через драйвер виброотклика Texas Instruments	CVE-2016-2409	Высокий
Повышение привилегий через видеодрайвер ядра Qualcomm	CVE-2016-2410	Высокий
Повышение привилегий через компонент управления питанием Qualcomm	CVE-2016-2411	Высокий
Повышение привилегий через system_server	CVE-2016-2412	Высокий
Повышение привилегий через mediaserver	CVE-2016-2413	Высокий
Отказ в обслуживании в Minikin	CVE-2016-2414	Высокий
Раскрытие информации через Exchange ActiveSync	CVE-2016-2415	Высокий
Раскрытие информации через mediaserver	CVE-2016-2416 CVE-2016-2417 CVE-2016-2418 CVE-2016-2419	Высокий
Повышение привилегий через компонент Debuggerd	CVE-2016-2420	Средний
Повышение привилегий через мастер настройки	CVE-2016-2421	Средний
Повышение привилегий через Wi-Fi	CVE-2016-2422	Средний
Повышение привилегий через телефонную связь	CVE-2016-2423	Средний
Отказ в обслуживании в SyncStorageEngine	CVE-2016-2424	Средний
Раскрытие информации через почтовый клиент AOSP	CVE-2016-2425	Средний
Раскрытие информации через Framework	CVE-2016-2426	Средний
Раскрытие информации через Bouncy Castle	CVE-2016-2427	Средний

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
Анестис Бехтсудис (@anestisb) из CENSUS S.A.: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
Брэд Эбингер и Сантос Кордон из команды Google Telecom: CVE-2016-0847
Доминик Шурманн из Института операционных систем и компьютерных сетей, Брауншвейгский технический университет: CVE-2016-2425
Гэнцзя Чэнь (@chengjia4574), pjf и Цзяньцян Чжао (@jianqiangzhao) из IceSword Lab, Qihoo 360: CVE-2016-0844
Джордж Пискас из Федеральной политехнической школы Лозанны: CVE-2016-2426
Гуан Гун (龚广) (@oldfresher) из Qihoo 360 Technology Co.Ltd: CVE-2016-2412, CVE-2016-2416
Джеймс Форшоу из Google Project Zero: CVE-2016-2417, CVE-2016-0846
Цзяньцян Чжао (@jianqiangzhao), pjf и Гэнцзя Чэнь (@chengjia4574) из IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360: CVE-2016-2409
Нэнси Ван из Vertu Ltd.: CVE-2016-0837
Насим Замир: CVE-2016-2409
Нико Голде (@iamnion) из Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
Питер Пи (@heisecode) из Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
Куан Нгуен из команды Google по безопасности: CVE-2016-2427
Ричард Шупак: CVE-2016-2415
Роман Труве (@bouuntyyy) из MWR Labs: CVE-2016-0850
Стюарт Хендерсон: CVE-2016-2422
Вишват Мохан из команды безопасности Android: CVE-2016-2424
Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-2414
Виш Ву (@wish_wu) из Trend Micro Inc.: CVE-2016-0843
Йонцзун Ли и Сяофэн Ван из Индианского университета в Блумингтоне, Тунсинь Ли и Синьхуэй Хань из Пекинского университета: CVE-2016-0848

Команда безопасности Android также благодарит тех, кто предоставил информацию об уязвимости CVE-2015-1805: Юань-Цун Ло, Венькэ Доу, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team и Zimperium.

Описание уязвимостей

В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через dhcpcd

Уязвимость в сервисе DHCP позволяет злоумышленнику нарушить целостность информации в памяти и удаленно выполнить код. Из-за этого ей присвоен критический уровень. У сервиса DHCP есть доступ к привилегиям, закрытым для сторонних приложений.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2014-6060	ANDROID-15268738	Критический	4.4.4	30 июля 2014 г.
CVE-2014-6060	ANDROID-16677003	Критический	4.4.4	30 июля 2014 г.
CVE-2016-1503	ANDROID-26461634	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	4 января 2016 г.

Удаленное выполнение кода через медиакодек

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью медиакодека для mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.

Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0834	ANDROID-26220548*	Критический	6.0, 6.0.1	16 декабря 2015 г.

*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Удаленное выполнение кода через mediaserver

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью mediaserver, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0835	ANDROID-26070014 [2]	Критический	6.0, 6.0.1	6 декабря 2015 г.
CVE-2016-0836	ANDROID-25812590	Критический	6.0, 6.0.1	19 ноября 2015 г.
CVE-2016-0837	ANDROID-27208621	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	11 февраля 2016 г.
CVE-2016-0838	ANDROID-26366256 [2]	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google
CVE-2016-0839	ANDROID-25753245	Критический	6.0, 6.0.1	Доступно только сотрудникам Google
CVE-2016-0840	ANDROID-26399350	Критический	6.0, 6.0.1	Доступно только сотрудникам Google
CVE-2016-0841	ANDROID-26040840	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Удаленное выполнение кода через libstagefright

При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью libstagefright, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0842	ANDROID-25818142	Критический	6.0, 6.0.1	23 ноября 2015 г.

Повышение привилегий через ядро

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС. Узнайте больше об этой уязвимости в Примечании по безопасности Android от 18 марта 2016 г.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2015-1805	ANDROID-27275324*	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	19 февраля 2016 г.

*Исправление опубликовано в AOSP для следующих версий ядра: 3.14 3.10 3.4

Повышение привилегий через модуль производительности процессора Qualcomm

Уязвимость обнаружена в диспетчере событий производительности для ARM-процессоров Qualcomm. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0843	ANDROID-25801197*	Критический	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	19 ноября 2015 г.

Повышение привилегий через RF-компонент процессора Qualcomm

Уязвимость RF-драйвера Qualcomm позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения уязвимости нужно переустановить ОС.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0844	ANDROID-26324307*	Критический	6.0, 6.0.1	25 декабря 2015 г.

*Исправление опубликовано не в AOSP, а в сообществе Linux.

Повышение привилегий через ядро

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Уязвимости присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС.

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2014-9322	ANDROID-26927260 [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]	Критический	6.0, 6.0.1	25 декабря 2015 г.

Повышение привилегий через IMemory Native Interface

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0846	ANDROID-26877992	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	29 января 2016 г.

Повышение привилегий через компонент Telecom

Уязвимость позволяет злоумышленнику совершать вызовы, меняя номер звонящего на произвольный. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0847	ANDROID-26864502 [2]	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Повышение привилегий через диспетчер загрузки

Уязвимость обнаружена в диспетчере загрузки. Она позволяет получить доступ к неавторизованным файлам в личном хранилище. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0848	ANDROID-26211054	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	14 декабря 2015 г.

Повышение привилегий во время процесса восстановления

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0849	ANDROID-26960931	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1	3 февраля 2016 г.

Повышение привилегий через Bluetooth

Уязвимость обнаружена в Bluetooth. Она позволяет ненадежному устройству подсоединиться к телефону во время первоначальной процедуры подключения. Это дает злоумышленнику неавторизованный доступ к ресурсам устройства, например к интернет-подключению. Уязвимости присвоен высокий уровень серьезности, поскольку она позволяет получить возможности, недоступные ненадежным устройствам.

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-0850	ANDROID-26551752	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	13 января 2016 г.

Повышение привилегий через драйвер виброотклика Texas Instruments

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2409	ANDROID-25981545*	Высокий	6.0, 6.0.1	25 декабря 2015 г.

Повышение привилегий через видеодрайвер ядра Qualcomm

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2410	ANDROID-26291677*	Высокий	6.0, 6.0.1	21 декабря 2015 г.

Повышение привилегий через компонент управления питанием Qualcomm

Уязвимость обнаружена в драйвере управления питанием ядра Qualcomm. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость требует сначала нарушить защиту устройства и получить root-права, поэтому уровень был снижен до высокого.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2411	ANDROID-26866053*	Высокий	6.0, 6.0.1	28 января 2016 г.

Повышение привилегий через system_server

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Уязвимости присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2412	ANDROID-26593930	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	15 января 2016 г.

Повышение привилегий через mediaserver

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2413	ANDROID-26403627	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1	5 января 2016 г.

Отказ в обслуживании в Minikin

Уязвимость в библиотеке Minikin позволяет локальному взломщику временно заблокировать доступ к пораженному устройству. Злоумышленник может инициировать загрузку ненадежного шрифта, что вызовет переполнение Minikin и сбой в работе устройства. Уязвимости присвоен высокий уровень серьезности, поскольку из-за отказа в обслуживании начинается бесконечная цепочка перезагрузок устройства.

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2414	ANDROID-26413177 [2]	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1	3 ноября 2015 г.

Раскрытие информации через Exchange ActiveSync

Уязвимость позволяет локальному вредоносному ПО получить удаленный доступ к конфиденциальным данным пользователя. Из-за этого ей присвоен высокий уровень серьезности.

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2415	ANDROID-26488455	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1	11 января 2016 г.

Раскрытие информации через mediaserver

Уязвимость позволяет обойти защиту, предотвращающую атаки на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2416	ANDROID-27046057 [2]	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	5 февраля 2016 г.
CVE-2016-2417	ANDROID-26914474	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	1 февраля 2016 г.
CVE-2016-2418	ANDROID-26324358	Высокий	6.0, 6.0.1	24 декабря 2015 г.
CVE-2016-2419	ANDROID-26323455	Высокий	6.0, 6.0.1	24 декабря 2015 г.

Повышение привилегий через компонент Debuggerd

Уязвимость компонента Debuggerd позволяет локальному вредоносному ПО выполнять произвольный код на устройстве. Из-за этого нарушается работа системы безопасности. Для устранения проблемы нужно переустановить ОС. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость присутствует только в версии Android 4.4.4, поэтому уровень был снижен до среднего. В Android 5.0 и более поздних версиях правила SELinux не позволяют сторонним приложениям оперировать с кодом.

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2420	ANDROID-26403620 [2]	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	5 января 2016 г.

Повышение привилегий через мастер настройки

Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам и выполнить их сброс. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту от сброса.

CVE	Ошибка	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2421	ANDROID-26154410*	Средний	5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Повышение привилегий через Wi-Fi

Уязвимость Wi-Fi позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2422	ANDROID-26324357	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	23 декабря 2015 г.

Повышение привилегий через телефонную связь

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2423	ANDROID-26303187	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Отказ в обслуживании в SyncStorageEngine

Уязвимость позволяет локальному вредоносному ПО вызвать бесконечную цепочку перезагрузок устройства. Уязвимости присвоен средний уровень серьезности, поскольку из-за нее может произойти отказ в обслуживании. Для устранения проблемы нужно сбросить настройки устройства.

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2424	ANDROID-26513719	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Раскрытие информации через почтовый клиент AOSP

Уязвимость позволяет локальному вредоносному ПО получить доступ к конфиденциальным данным пользователя. Ей присвоен средний уровень серьезности, поскольку с ее помощью можно получить разрешения уровня dangerous (опасные).

CVE	Ошибки со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2425	ANDROID-26989185	Средний	4.4.4, 5.1.1, 6.0, 6.0.1	29 января 2016 г.
CVE-2016-2425	ANDROID-7154234*	Средний	5.0.2	29 января 2016 г.

Раскрытие информации через Framework

Уязвимость компонента Framework позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.

CVE	Ошибка со ссылкой на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2426	ANDROID-26094635	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1	8 декабря 2015 г.

Раскрытие информации через Bouncy Castle

Уязвимость позволяет злоумышленнику украсть ключ аутентификации. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить доступ к возможностям и данным уровня dangerous (опасные), если на устройстве установлено вредоносное ПО.

CVE	Ошибка со ссылками на AOSP	Уровень серьезности	Версии, получившие обновление системы безопасности	Дата сообщения об ошибке
CVE-2016-2427	ANDROID-26234568 [2]	Средний	5.0.2, 5.1.1, 6.0, 6.0.1	Доступно только сотрудникам Google

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Перечисленные проблемы устранены в исправлении от 2 апреля 2016 года или более новом. О том, как узнать дату последнего обновления системы безопасности, рассказывается в документации Nexus. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-04-02].

2. Почему 2 апреля 2016 года вышло дополнительное исправление?

Обычно исправления в системе безопасности появляются 1-го числа каждого месяца. В апреле такое исправление включало в себя решение всех проблем, описанных в этом бюллетене, за исключением уязвимости CVE-2015-1805. Узнать о ней больше можно в Примечании по безопасности Android от 18 марта 2016 года. В исправлении от 2 апреля 2016 года все описанные выше уязвимости, включая CVE-2015-1805, устранены.

Версии

4 апреля 2016 года. Бюллетень опубликован.
6 апреля 2016 года. Добавлены ссылки на AOSP.