Boletim de segurança do Android – maio de 2016

Publicado em 02 de maio de 2016 | Atualizado em 04 de maio de 2016

O Boletim de Segurança do Android contém detalhes de vulnerabilidades de segurança que afetam dispositivos Android. Juntamente com o boletim, lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização over-the-air (OTA). As imagens do firmware do Nexus também foram divulgadas no site do Google Developers . Os níveis de patch de segurança de 1º de maio de 2016 ou posteriores resolvem esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança).

Os parceiros foram notificados sobre os problemas descritos no boletim em 04 de abril de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP).

O mais grave desses problemas é uma vulnerabilidade crítica de segurança que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação da gravidade baseia-se no efeito que a exploração da vulnerabilidade poderia ter num dispositivo afetado, assumindo que as mitigações da plataforma e do serviço estão desativadas para fins de desenvolvimento ou se forem contornadas com êxito.

Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas recentemente relatados. Consulte a seção Mitigações de serviços do Android e do Google para obter detalhes sobre as proteções da plataforma de segurança Android e proteções de serviço, como SafetyNet, que melhoram a segurança da plataforma Android.

Incentivamos todos os clientes a aceitarem essas atualizações em seus dispositivos.

Anúncios

  • Para refletir um foco mais amplo, renomeamos este boletim (e todos os seguintes da série) para Boletim de Segurança do Android. Esses boletins abrangem uma gama mais ampla de vulnerabilidades que podem afetar dispositivos Android, mesmo que não afetem dispositivos Nexus.
  • Atualizamos as classificações de gravidade da segurança do Android. Estas alterações foram o resultado de dados recolhidos nos últimos seis meses sobre vulnerabilidades de segurança comunicadas e visam alinhar mais estreitamente a gravidade com o impacto no mundo real para os utilizadores.

Mitigações de serviços do Android e do Google

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviços como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelas melhorias nas versões mais recentes da plataforma Android. Encorajamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente abusos com Verify Apps e SafetyNet , que são projetados para alertar os usuários sobre aplicativos potencialmente prejudiciais . A verificação de aplicativos está ativada por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos fora do Google Play. Ferramentas de root de dispositivos são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, não importa de onde ele venha. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o mediaserver.

Reconhecimentos

Gostaríamos de agradecer a estes pesquisadores por suas contribuições:

Detalhes de vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 01/05/2016. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, bug associado, gravidade, dispositivos Nexus atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração do AOSP que resolveu o problema ao ID do bug. Quando várias alterações estão relacionadas a um único bug, referências adicionais do AOSP são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no Mediaserver

Durante o processamento de dados e arquivos de mídia de um arquivo especialmente criado, uma vulnerabilidade no mediaserver pode permitir que um invasor cause corrupção de memória e execução remota de código como o processo do mediaserver.

A funcionalidade afetada é fornecida como uma parte central do sistema operacional e há vários aplicativos que permitem que ela seja acessada com conteúdo remoto, principalmente MMS e reprodução de mídia no navegador.

Este problema é classificado como de gravidade crítica devido à possibilidade de execução remota de código no contexto do serviço mediaserver. O serviço mediaserver tem acesso a fluxos de áudio e vídeo, bem como acesso a privilégios que aplicativos de terceiros normalmente não poderiam acessar.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2428 26751339 Crítico Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 de janeiro de 2016
CVE-2016-2429 27211885 Crítico Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no Debuggerd

Uma vulnerabilidade de elevação de privilégio no depurador Android integrado pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do depurador Android. Este problema é classificado como de gravidade crítica devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2430 27299236 Crítico Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no Qualcomm TrustZone

Uma vulnerabilidade de elevação de privilégio no componente Qualcomm TrustZone poderia permitir que um aplicativo malicioso local seguro executasse código arbitrário dentro do contexto do kernel TrustZone. Este problema é classificado como de gravidade crítica devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2431 24968809* Crítico Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 de outubro de 2015
CVE-2016-2432 25913059* Crítico Nexus 6, Android One 28 de novembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no driver Wi-Fi da Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de escalonamento de privilégios locais e execução arbitrária de código, levando à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2015-0569 26754117* Crítico Nexus 5X, Nexus 7 (2013) 23 de janeiro de 2016
CVE-2015-0570 26764809* Crítico Nexus 5X, Nexus 7 (2013) 25 de janeiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no driver de vídeo NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver de vídeo NVIDIA pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2434 27251090* Crítico Nexus 9 17 de fevereiro de 2016
CVE-2016-2435 27297988* Crítico Nexus 9 20 de fevereiro de 2016
CVE-2016-2436 27299111* Crítico Nexus 9 22 de fevereiro de 2016
CVE-2016-2437 27436822* Crítico Nexus 9 1º de março de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no kernel

Uma vulnerabilidade de elevação de privilégio no kernel pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como de gravidade crítica devido à possibilidade de escalonamento de privilégios locais e execução arbitrária de código, levando à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo. Esse problema foi descrito no Aviso de segurança do Android 18/03/2016 .

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2015-1805 27275324* Crítico Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 de fevereiro de 2016

* O patch no AOSP está disponível para versões específicas do kernel: 3.14 , 3.10 e 3.4 .

Vulnerabilidade de execução remota de código no kernel

Uma vulnerabilidade de execução remota de código no subsistema de áudio poderia permitir que um aplicativo malicioso local executasse código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço privilegiado para chamar o subsistema de áudio, ele é classificado como de alta gravidade.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2438 26636060* Alto Nexus 9 Interno do Google

* O patch para esse problema está disponível no Linux upstream .

Vulnerabilidade de divulgação de informações no controlador Qualcomm Tethering

Uma vulnerabilidade de divulgação de informações no controlador Qualcomm Tethering pode permitir que um aplicativo malicioso local acesse informações pessoais identificáveis ​​sem privilégios para fazê-lo. Este problema é classificado como de gravidade alta porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2060 27942588* Alto Nenhum 23 de março de 2016

* O patch para este problema não está no AOSP. A atualização deve estar contida nos drivers mais recentes dos dispositivos afetados.

Vulnerabilidade de execução remota de código em Bluetooth

Durante o emparelhamento de um dispositivo Bluetooth, uma vulnerabilidade no Bluetooth poderia permitir que um invasor proximal executasse código arbitrário durante o processo de emparelhamento. Este problema é classificado como de alta gravidade devido à possibilidade de execução remota de código durante a inicialização de um dispositivo Bluetooth.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2439 27411268 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no Binder

Uma vulnerabilidade de elevação de privilégio no Binder pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do processo de outro aplicativo. Ao liberar memória, uma vulnerabilidade no Binder pode permitir que um invasor cause a execução local de código. Este problema é classificado como de alta gravidade devido à possibilidade de execução de código local durante o processo de liberação de memória no Binder.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2440 27252896 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no driver Qualcomm Buspm

Uma vulnerabilidade de elevação de privilégio no driver buspm da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2441 26354602* Alto Nexus 5X, Nexus 6, Nexus 6P 30 de dezembro de 2015
CVE-2016-2442 26494907* Alto Nexus 5X, Nexus 6, Nexus 6P 30 de dezembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no driver Qualcomm MDP

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm MDP pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2443 26404525* Alto Nexus 5, Nexus 7 (2013) 5 de janeiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no driver Wi-Fi da Qualcomm

Uma vulnerabilidade de elevação de privilégio no componente Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local invoque chamadas do sistema, alterando as configurações e o comportamento do dispositivo, sem os privilégios para fazê-lo. Este problema é classificado como de gravidade alta porque pode ser usado para obter acesso local a recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2015-0571 26763920* Alto Nexus 5X, Nexus 7 (2013) 25 de janeiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no driver de vídeo NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver de mídia NVIDIA pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço de alto privilégio para chamar o driver, ele é classificado como de alta gravidade.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2444 27208332* Alto Nexus 9 16 de fevereiro de 2016
CVE-2016-2445 27253079* Alto Nexus 9 17 de fevereiro de 2016
CVE-2016-2446 27441354* Alto Nexus 9 1º de março de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio em Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque também pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a aplicativos de terceiros.

Nota : O número CVE foi atualizado, por solicitação MITRE, de CVE-2016-2447 para CVE-2016-4477.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-4477 27371366 [ 2 ] Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no mediaserver poderia permitir que um aplicativo malicioso local executasse código arbitrário no contexto de um aplicativo de sistema elevado. Esse problema é classificado como de alta gravidade porque pode ser usado para obter recursos elevados, como privilégios de permissão Signature ou SignatureOrSystem , que não são acessíveis a um aplicativo de terceiros.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2448 27533704 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 de março de 2016
CVE-2016-2449 27568958 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 de março de 2016
CVE-2016-2450 27569635 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 de março de 2016
CVE-2016-2451 27597103 Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 de março de 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] Alto Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 de março de 2016

Vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Normalmente, um bug de execução de código do kernel como esse seria classificado como Crítico, mas como primeiro requer o comprometimento de um serviço que pode chamar o driver, ele é classificado como de alta gravidade.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2453 27549705* Alto Android Um 8 de março de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de negação remota de serviço no codec de hardware Qualcomm

Durante o processamento de dados e arquivos de mídia de um arquivo especialmente criado, uma vulnerabilidade de negação remota de serviço no codec de vídeo de hardware da Qualcomm pode permitir que um invasor remoto bloqueie o acesso a um dispositivo afetado, causando a reinicialização do dispositivo. Isso é classificado como de alta gravidade devido à possibilidade de negação remota de serviço.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2454 26221024* Alto Nexus 5 16 de dezembro de 2015

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio no Concrypt

Uma vulnerabilidade de elevação de privilégio no Concrypt poderia permitir que um aplicativo local acreditasse que uma mensagem foi autenticada, quando na verdade não foi. Este problema é classificado como de gravidade moderada porque requer etapas coordenadas em vários dispositivos.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2461 27324690 [ 2 ] Moderado Todos os Nexus 6.0, 6.0.1 Interno do Google
CVE-2016-2462 27371173 Moderado Todos os Nexus 6.0, 6.0.1 Interno do Google

Vulnerabilidade de elevação de privilégio em OpenSSL e BoringSSL

Uma vulnerabilidade de elevação de privilégio no OpenSSL e no BoringSSL pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Normalmente isso seria classificado como Alto, mas como requer uma configuração manual incomum, é classificado como de gravidade Moderada.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-0705 27449871 Moderado Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 de fevereiro de 2016

Vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi pode permitir que um aplicativo malicioso local cause uma negação de serviço. Normalmente, um bug de elevação de privilégio como esse seria classificado como Alto, mas como requer primeiro o comprometimento de um serviço do sistema, é classificado como de gravidade Moderada.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2456 27275187* Moderado Android Um 19 de fevereiro de 2016

* O patch para este problema não está no AOSP. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers .

Vulnerabilidade de elevação de privilégio em Wi-Fi

Uma vulnerabilidade de elevação de privilégio em Wi-Fi pode permitir que uma conta de convidado modifique as configurações de Wi-Fi que persistem para o usuário principal. Este problema é classificado como de gravidade moderada porque permite acesso local a recursos " perigosos " sem permissão.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2457 27411179 Moderado Todos os Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 29 de fevereiro de 2016

Vulnerabilidade de divulgação de informações no correio AOSP

Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo malicioso local obtenha acesso às informações privadas do usuário. Este problema é classificado como gravidade moderada porque pode ser usado para acessar dados indevidamente sem permissão.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2458 27335139 [ 2 ] Moderado Todos os Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 23 de fevereiro de 2016

Vulnerabilidade de divulgação de informações no Mediaserver

Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo acesse informações confidenciais. Este problema é classificado como gravidade moderada porque pode ser usado para acessar dados indevidamente sem permissão.

CVE Erros do Android Gravidade Dispositivos Nexus atualizados Versões AOSP atualizadas Data relatada
CVE-2016-2459 27556038 Moderado Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 de março de 2016
CVE-2016-2460 27555981 Moderado Todos os Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 de março de 2016

Vulnerabilidade de negação de serviço no kernel

Uma vulnerabilidade de negação de serviço no kernel pode permitir que um aplicativo malicioso local cause a reinicialização do dispositivo. Este problema é classificado como de gravidade baixa porque o efeito é uma negação temporária de serviço.

CVE Bug do Android Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-0774 27721803* Baixo Todos os Nexus 17 de março de 2016

* O patch para esse problema está disponível no Linux upstream .

Perguntas e respostas comuns

Esta seção analisa respostas a perguntas comuns que podem surgir após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Os níveis de patch de segurança de 1º de maio de 2016 ou posteriores resolvem esses problemas (consulte a documentação do Nexus para obter instruções sobre como verificar o nível do patch de segurança). Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string do patch como: [ro.build.version.security_patch]:[2016-05-01]

2. Como posso determinar quais dispositivos Nexus são afetados por cada problema?

Na seção Detalhes de vulnerabilidade de segurança , cada tabela tem uma coluna Dispositivos Nexus atualizados que cobre a variedade de dispositivos Nexus afetados e atualizados para cada problema. Esta coluna tem algumas opções:

  • Todos os dispositivos Nexus : se um problema afetar todos os dispositivos Nexus, a tabela terá Todos os Nexus na coluna Dispositivos Nexus atualizados . Todos os Nexus encapsulam os seguintes dispositivos suportados : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player e Pixel C.
  • Alguns dispositivos Nexus : se um problema não afetar todos os dispositivos Nexus, os dispositivos Nexus afetados serão listados na coluna Dispositivos Nexus atualizados .
  • Nenhum dispositivo Nexus : se nenhum dispositivo Nexus for afetado pelo problema, a tabela terá “Nenhum” na coluna Dispositivos Nexus atualizados .

3. Por que o CVE-2015-1805 está incluído neste boletim?

O CVE-2015-1805 está incluído neste boletim porque o Aviso de segurança do Android — 18/03/2016 foi publicado muito próximo do lançamento do boletim de abril. Devido ao cronograma apertado, os fabricantes de dispositivos tiveram a opção de enviar correções do Boletim de segurança do Nexus — abril de 2016 , sem a correção para CVE-2015-1805, se usassem o nível de patch de segurança de 1º de abril de 2016. Ele está incluído novamente neste boletim, pois deve ser corrigido para usar o nível de patch de segurança de 1º de maio de 2016.

Revisões

  • 02 de maio de 2016: Boletim publicado.
  • 04 de maio de 2016:
    • Boletim revisado para incluir links AOSP.
    • Lista de todos os dispositivos Nexus atualizados para incluir Nexus Player e Pixel C.
    • CVE-2016-2447 atualizado para CVE-2016-4477, por solicitação MITRE.