Множественные уязвимости в Google Android

Дата публикации:
09.03.2016
Дата изменения:
09.03.2016
Всего просмотров:
1476
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
19
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:A/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:3.3/Temporal:2.4
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
CVE ID:
CVE-2016-0815
CVE-2016-0816
CVE-2016-1621
CVE-2016-0818
CVE-2016-0819
CVE-2016-0820
CVE-2016-0728
CVE-2016-0821
CVE-2016-0822
CVE-2016-0823
CVE-2016-0824
CVE-2016-0825
CVE-2016-0826
CVE-2016-0827
CVE-2016-0828
CVE-2016-0829
CVE-2016-0830
CVE-2016-0831
CVE-2016-0832
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
Повышение привилегий
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Google Android 6.0.x
Android 5.х
Android 4.x
Уязвимые версии:
Google Android 4.x с 4.4.4
Google Android 5.x
Google Android 6.x

Описание:

Уязвимости позволяют удаленному пользователю раскрыть важные данные, скомпрометировать систему, обойти ограничения безопасности и осуществить DoS-атаку.

1, 2) Уязвимости существуют из-за ошибки в компоненте mediaserver. Удаленный пользователь может с помощью специально сформированного файла вызвать повреждение памяти и скомпрометировать систему.

Примечание: Эксплуатация уязвимостей требует, чтобы жертва загрузила и запустила специально сформированный файл.

3) Уязвимости существует из-за ошибки в компоненте libvpx. Удаленный пользователь может с помощью специально сформированного файла вызвать повреждение памяти и выполнить произвольный кол. Код будет выполнен с привилегиями процесса mediaserver.

Примечание: Эксплуатация уязвимости требует, чтобы жертва загрузила и запустила специально сформированный файл.

4) Уязвимость существует из-за ошибки в Conscrypt, из-за которой сертификаты, выпущенные промежуточным ЦС, будут иметь некорректный уровень доверия. Эксплуатация уязвимости позволяет осуществить атаку "человек посередине.

5) Уязвимость существует из-за ошибки в компоненте Qualcomm Performance. Локальное вредоносное приложение может повысить привилегии и выполнить произвольный код с привилегиями ядра.

6) Уязвимость существует из-за ошибки в драйвере Mediatek Wi-Fi. Локальное вредоносное приложение может повысить привилегии и выполнить произвольный код с привилегиями ядра.

7) Уязвимость существует из-за ошибки в компоненте Kernel Keyring. Локальное вредоносное приложение может повысить привилегии и выполнить произвольный код с привилегиями ядра.

8) Уязвимость существует из-за неуточненной ошибки в ядре системы. Удаленный пользователь может обойти ограничения безопасности.

9) Уязвимость существует из-за ошибки в драйвере Mediatek Connectivity. Локальное вредоносное приложение может повысить привилегии и выполнить произвольный код с привилегиями ядра.

10) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может раскрыть важные данные.

11) Уязвимость существует из-за ошибки в библиотеке libstagefright. Удаленный пользователь может раскрыть важные данные.

12) Уязвимость существует из-за ошибки в Widevine. Код, запущенный в контексте ядра, может получить доступ к данным в безопасном хранилище TrustZone.

13, 14) Уязвимости существуют из-за ошибки в компоненте mediaserver. Локальное вредоносное приложение может повысить привилегии и выполнить произвольный код с привилегиями ядра.

15, 16) Уязвимости существуют из-за ошибки в компоненте mediaserver. Удаленный пользователь может раскрыть важные данные.

17) Уязвимость существует из-за ошибки в компоненте Bluetooth. Удаленный пользователь, находящийся в радиусе действия Bluetooth-соединения, может осуществить DoS-атаку.

18) Уязвимость существует из-за ошибки в компоненте Telephony. Приложение может получить доступ к конфиденциальной информации.


URL производителя: http://android.com

Решение: Установите исправление с сайта производителя.

Ссылки: https://source.android.com/security/bulletin/2016-03-01.html